Reglamento general de protección de datos
REGLAMENTO nro. 679 de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)
(el 31 de octubre de 2018, el acto estaba relacionado con la Decisión 174/2018)
(el 25 de mayo de 2018, ver referencias de aplicación de la Decisión 743/16-mayo-2018) (el 06 de octubre de 2016, el acto se relacionó con la Directiva 1629/14-sep-2016)
(el 05 de mayo de 2016, el acto se relacionó con la Directiva 680/27-abr-2016)
(Texto relevante para la EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, en particular su artículo 16,
considerando la propuesta de la Comisión Europea,
tras la presentación del proyecto de acto legislativo a los parlamentos nacionales,
considerando el dictamen del Comité Económico y Social Europeo (1),
(1) DO C 229 de 31.7.2012, p.90.
visto el dictamen del Comité de las Regiones (2),
(2) DO C 391 de 18.12.2012, p.127.
decidir con arreglo al procedimiento legislativo ordinario (3),
(3) La posición del Parlamento Europeo de 12 de marzo de 2014 (aún no publicada en el Diario Oficial) y la posición del Consejo en primera lectura de 8 de abril de 2016 (aún no publicada en el Diario Oficial). La posición del Parlamento Europeo del 14 de abril de 2016.
mientras que:
(1) La protección de las personas físicas en lo que respecta al tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea ("Carta") y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen el derecho de toda persona a la protección de datos personales que le conciernen.
(2) Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales deben, independientemente de su ciudadanía o lugar de residencia, respetar sus derechos y libertades fundamentales, en particular el derecho a la protección. datos personales. Este reglamento busca contribuir a la realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, a la consolidación y convergencia de las economías dentro del mercado interior y al bienestar de las personas físicas. . (3) La Directiva 95/46/CE del Parlamento Europeo y del Consejo (4) tiene como objetivo armonizar el nivel de protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta a las actividades de tratamiento y garantizar la libre circulación de datos personales entre estados miembros. (4) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995 , pág.31).
(4) El tratamiento de datos personales debe estar al servicio de los ciudadanos. El derecho a la protección de datos personales no es un derecho absoluto; debe tenerse en cuenta en relación con la función que cumple en la sociedad y en equilibrio con otros derechos fundamentales, de conformidad con el principio de proporcionalidad. Este reglamento respeta todos los derechos y libertades fundamentales y los principios reconocidos en la carta tal como están consagrados en los tratados, en particular el respeto a la vida privada y familiar, la residencia y las comunicaciones, la protección de datos personales, la libertad de pensamiento, de conciencia y de religión, la libertad de de expresión e información, la libertad de realizar una actividad comercial, el derecho a un recurso efectivo y a un juicio justo, así como la diversidad cultural, religiosa y lingüística.
(5) La integración económica y social resultante del funcionamiento del mercado interior ha dado lugar a un aumento sustancial de los flujos transfronterizos de datos personales. El intercambio de datos personales entre agentes públicos y privados, incluidas personas físicas, asociaciones y empresas, se ha intensificado en toda la Unión. Según el Derecho de la Unión, las autoridades nacionales de los Estados miembros están llamadas a cooperar e intercambiar datos personales para poder cumplir sus funciones o realizar tareas en nombre de una autoridad de otro Estado miembro.
(6) Los rápidos avances tecnológicos y la globalización han generado nuevos desafíos para la protección de datos personales. El alcance de la recopilación e intercambio de datos personales ha aumentado significativamente. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales a un nivel sin precedentes en sus actividades. Cada vez más, las personas físicas hacen pública información personal en todo el mundo. La tecnología ha transformado tanto la economía como la vida social y debería facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando, al mismo tiempo, un alto nivel de protección de datos personales.
(7) Esta evolución requiere un marco sólido y más coherente en materia de protección de datos en la Unión, acompañado de una aplicación rigurosa de las normas, teniendo en cuenta la importancia de crear un clima de confianza que permita a la economía digital desarrollarse el mercado interior. Los particulares deben tener control sobre sus datos personales y debe reforzarse la seguridad jurídica y práctica para los particulares, los operadores económicos y las autoridades públicas.
(8) Si el presente Reglamento prevé especificaciones o restricciones de sus normas por el derecho interno, los Estados miembros podrán, en la medida en que sea necesario para la coherencia y para asegurar la comprensión de las disposiciones nacionales por las personas a las que se aplican, incorporar elementos de esta norma en su derecho interno.
(9) Los objetivos y principios de la Directiva 95/46/CE siguen siendo sólidos, pero esto no ha impedido la fragmentación de la forma en que se aplica la protección de datos en la Unión, la inseguridad jurídica o la percepción pública generalizada de que existen riesgos importantes para la protección de las personas físicas, especialmente en relación con la actividad en línea. Las diferencias entre los niveles de protección de los derechos y libertades de las personas físicas, en particular el derecho a la protección de datos personales, en lo que respecta al tratamiento de datos personales en los Estados miembros pueden impedir la libre circulación de datos personales en toda la Unión . Por lo tanto, estas diferencias pueden constituir un obstáculo en el ejercicio de actividades económicas a nivel de la Unión, pueden falsear la competencia e impedir que las autoridades cumplan sus responsabilidades en virtud del Derecho de la Unión. Esta diferencia entre los niveles de protección se debe a la existencia de algunas diferencias en cuanto a la transposición y aplicación de la Directiva 95/46/CE.
(10) Para garantizar un nivel elevado y coherente de protección de las personas físicas y eliminar obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas con respecto al tratamiento de dichos datos datos, debería ser equivalente en todos los estados miembros. Debe garantizarse en toda la Unión la aplicación coherente y homogénea de las normas relativas a la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales. En lo que respecta al tratamiento de datos personales para cumplir una obligación legal, una tarea que sirva a un interés público o que resulte del ejercicio de poderes públicos conferidos al operador, debe permitirse a los Estados miembros mantener o introducir disposiciones de derecho interno para aclarar en mayor medida la aplicación de las normas del presente reglamento. Junto con la legislación general y horizontal de protección de datos, que implementa la Directiva 95/46/CE, los estados miembros tienen varias leyes sectoriales específicas en áreas que requieren disposiciones más precisas. Este reglamento también otorga a los Estados miembros un margen de maniobra para especificar sus normas, incluso en lo que respecta al procesamiento de categorías especiales de datos personales ("datos sensibles"). En este sentido, esta norma no excluye la legislación de los estados miembros que establezca las circunstancias relacionadas con situaciones específicas del tratamiento, incluido el establecimiento con mayor precisión de las condiciones bajo las cuales el tratamiento de datos personales es lícito.
(11) La protección efectiva de los datos personales en toda la Unión requiere no sólo la consolidación y el establecimiento detallado de los derechos de los interesados y las obligaciones de quienes procesan y deciden sobre el procesamiento de datos personales, sino también poderes equivalentes para
supervisar y garantizar el cumplimiento de las normas de protección de datos personales y sanciones equivalentes por delitos en los Estados miembros.
(12) El artículo 16, apartado 2, del TFUE exige al Parlamento Europeo y al Consejo establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, así como las normas relativas a la libre circulación de dichos datos.
(13) Para garantizar un nivel uniforme de protección de las personas físicas en toda la Unión y evitar discrepancias que impidan la libre circulación de datos en el mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos. incluidas las microempresas y las pequeñas y medianas empresas, así como ofrecer a las personas físicas de todos los Estados miembros el mismo nivel de derechos, obligaciones y responsabilidades jurídicamente exigibles para los operadores y sus personas autorizadas, con el fin de garantizar un seguimiento coherente de los datos tratamientos de carácter personal, sanciones equivalentes en todos los estados miembros, así como la cooperación efectiva de las autoridades de control de los distintos estados miembros. Para el correcto funcionamiento del mercado interior, es necesario que la libre circulación de datos personales dentro de la Unión no esté restringida ni prohibida por motivos relacionados con la protección de las personas físicas en términos del tratamiento de datos personales. Para tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, este Reglamento incluye una excepción para las organizaciones con menos de 250 empleados en términos de mantenimiento de registros. Además, se anima a las instituciones y organismos de la Unión y de los Estados miembros y a sus autoridades de supervisión a que tengan en cuenta las necesidades específicas de las microempresas y de las pequeñas y medianas empresas en la aplicación del presente Reglamento. El concepto de microempresa y de pequeña y mediana empresa debe basarse en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (1). (1) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresa y de pequeña y mediana empresa [C(2003) 1422] (DO L 124 de 20.5.2003, p. 36).
(14) La protección conferida por el presente Reglamento debe afectar a las personas físicas, independientemente de su ciudadanía o lugar de residencia, en lo que respecta al tratamiento de sus datos personales. Este reglamento no se aplica al procesamiento de datos personales relativos a personas jurídicas y, en particular, a empresas con personalidad jurídica, incluido el nombre y tipo de persona jurídica y los datos de contacto de la persona jurídica.
(15) Para evitar que se produzca un riesgo importante de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no depender de las tecnologías utilizadas. La protección de las personas físicas debe aplicarse al procesamiento de datos personales por medios automatizados, así como al procesamiento manual, si los datos personales están contenidos o se pretende que estén contenidos en un sistema de registro. No deben entrar en el ámbito de aplicación de este reglamento los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados según criterios específicos.
(16) El presente Reglamento no se aplica a cuestiones de protección de los derechos y libertades fundamentales ni a la libre circulación de datos personales relacionados con actividades que no entran dentro del ámbito de aplicación del Derecho de la Unión, por ejemplo actividades relacionadas con la seguridad nacional. Este reglamento no se aplica al tratamiento de datos personales por parte de los estados miembros cuando llevan a cabo actividades relacionadas con la política exterior y la seguridad común de la Unión. (17) Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo (2) se aplica al tratamiento de datos personales por parte de las instituciones, órganos, oficinas y agencias de la Unión. Reglamento (CE) nº. 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos personales deben adaptarse a los principios y normas establecidos en este reglamento y aplicarse de conformidad con este reglamento. Con el fin de garantizar un marco sólido y coherente en términos de protección de datos en la Unión, tras la adopción de este reglamento, el Reglamento (CE) n. 45/2001 las adaptaciones necesarias, para que puedan ser aplicados conjuntamente con el presente reglamento.
(2) Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por instituciones y organismos comunitarios y sobre la libre circulación de dichos datos (DO L 8 de 12.1.2001 , pág.1).
(18) Este reglamento no se aplica al tratamiento de datos personales por parte de una persona física dentro de una actividad exclusivamente personal o doméstica y que, por tanto, no esté relacionada con una actividad profesional o comercial. Las actividades personales o domésticas podrían incluir la correspondencia y el directorio de direcciones o actividades dentro de las redes sociales y actividades en línea realizadas en el contexto de esas actividades. Sin embargo, este reglamento se aplica a los operadores o personas autorizadas por los operadores que proporcionen los medios para procesar datos personales para dichas actividades personales o domésticas.
(19) La protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o persecución penal de delitos o ejecución de penas, incluida la protección contra amenazas a la seguridad pública y su prevención. , así como la libre circulación de estos datos, es objeto de un acto jurídico específico de la Unión. Por lo tanto, el presente Reglamento no debe aplicarse a las actividades de tratamiento para estos fines. Sin embargo, los datos personales tratados por las autoridades públicas con arreglo al presente Reglamento, cuando se utilicen para estos fines, deben estar regulados por un acto jurídico más específico de la Unión, a saber, la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (1). . Los Estados miembros podrán encomendar a las autoridades competentes en el sentido de la Directiva (UE) 2016/680 tareas que no necesariamente se lleven a cabo con el fin de prevenir, investigar, detectar o enjuiciar delitos o ejecutar sanciones, incluida la protección contra amenazas a la seguridad pública y impidiéndolos, de modo que el tratamiento de datos personales para otros fines, en la medida en que entre en el ámbito de aplicación del Derecho de la Unión, entra dentro del ámbito de aplicación de este reglamento.
(1) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes con fines de prevención, detección, investigación o persecución delitos o ejecución de penas y sobre la libre circulación de estos datos y la derogación de la Decisión Marco 2008/977/JAI del Consejo (véase la página 89 de este Diario Oficial).
En lo que respecta al tratamiento de datos personales por parte de estas autoridades competentes para fines comprendidos en el ámbito de aplicación del presente Reglamento, los Estados miembros deben poder mantener o introducir disposiciones más detalladas para adaptar la aplicación de las normas del presente Reglamento. Estas disposiciones pueden establecer con mayor precisión requisitos específicos para el procesamiento de datos personales por parte de las respectivas autoridades competentes para estos otros fines, teniendo en cuenta la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de datos personales por parte de organismos privados sea objeto del presente Reglamento, éste debería prever la posibilidad de que los Estados miembros, en determinadas condiciones, impongan por ley restricciones a determinadas obligaciones y derechos, si dichas restricciones constituyen una medida necesaria y proporcionada. medida en una sociedad democrática con el fin de garantizar importantes intereses específicos, entre los que se encuentran la seguridad pública y la prevención, investigación, detección y enjuiciamiento de delitos o la ejecución de penas, incluida la protección contra amenazas a la seguridad pública y su prevención. Esto es relevante, por ejemplo, en la lucha contra el blanqueo de dinero o en las actividades de los laboratorios forenses.
(20) Aunque este Reglamento se aplica, entre otras cosas, a las actividades de los tribunales y otras autoridades judiciales, el Derecho de la Unión o de los Estados miembros podría especificar las operaciones y procedimientos de tratamiento de datos personales por parte de los tribunales y otras autoridades judiciales. . El tratamiento de datos personales no debería ser competencia de las autoridades de control en caso de que los tribunales ejerzan sus competencias judiciales, a fin de garantizar la independencia del sistema judicial en el cumplimiento de sus tareas judiciales, incluida la toma de decisiones. La supervisión de tales operaciones de tratamiento de datos debe poder confiarse a órganos específicos del sistema judicial del Estado miembro, que deben, en particular, garantizar el cumplimiento de las normas previstas en el presente Reglamento, sensibilizar a los miembros del sistema judicial sobre las obligaciones que caen bajo este reglamento y para tratar las quejas relacionadas con dichas operaciones de procesamiento de datos.
(21) El presente Reglamento no afecta a la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo (2), en particular las normas relativas a la responsabilidad de los proveedores de servicios intermediarios previstas en los artículos 12 a 15 de dicha Directiva. directiva. La directiva respectiva tiene como objetivo contribuir al buen funcionamiento del mercado interior, garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros.
(2) Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, sobre determinados aspectos jurídicos de los servicios de la sociedad de la información, especialmente el comercio electrónico, en el mercado interior (directiva sobre comercio electrónico) (DO L 178, 17.7.2000 1, pág.
(22) Cualquier tratamiento de datos personales en el marco de las actividades de una oficina de un operador o de una persona autorizada por el operador en la Unión debe realizarse de conformidad con el presente Reglamento, independientemente de si el tratamiento en sí tiene lugar dentro de la Unión o no. . La sede implica el ejercicio efectivo y real de una actividad dentro de acuerdos estables. La forma jurídica de dichos contratos, a través de una sucursal o una filial con personalidad jurídica, no es determinante a este respecto.
(23) Para garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento de los datos personales de las personas interesadas que se encuentren en el territorio de la Unión por un operador o una persona autorizada por quien no lo hace y tiene su sede en la Unión debe estar sujeto a este reglamento si las actividades de procesamiento están relacionadas con el suministro de bienes o servicios a dichos interesados, independientemente de si están relacionadas o no con un pago. Para determinar si dicho operador o la persona autorizada por el operador ofrece bienes o servicios a interesados situados en el territorio de la Unión, debe determinarse si parece que el operador o la persona autorizada por el operador tiene la intención de prestar servicios a los interesados de uno o más estados miembros de la Unión. Puesto que el simple hecho de que se acceda a un sitio web del operador, de la persona autorizada por el operador o de un intermediario en la Unión, de que se disponga de una dirección de correo electrónico y de otros datos de contacto o de que una lengua utilizada generalmente en la se utiliza un tercer país donde el operador tiene su sede es insuficiente para confirmar tal intención, factores como el uso de un idioma o una moneda generalmente utilizada en uno o más estados miembros con la posibilidad de ordenar bienes y servicios en ese idioma o mencionar algunos clientes o usuarios que se encuentran en el territorio de la Unión pueden llevar a la conclusión de que el operador tiene la intención de ofrecer bienes o servicios a personas específicas en la Unión.
(24) El tratamiento de los datos personales de los interesados que se encuentran en el territorio de la Unión por un operador o una persona autorizada por él que no tenga su sede en la Unión también debe estar sujeto al presente Reglamento si está relacionado con la seguimiento del comportamiento de dichas personas objetivo, en la medida en que dicho comportamiento se manifieste en el territorio de la Unión. Para determinar si una actividad de procesamiento puede considerarse como "seguimiento del comportamiento" de los interesados, debe determinarse si se realiza un seguimiento de las personas físicas en Internet, incluido el posible uso posterior de técnicas de procesamiento de datos personales que consisten en crear un perfil de una persona física, especialmente para tomar decisiones sobre ella o analizar o hacer predicciones sobre sus preferencias, comportamientos y actitudes personales.
(25) Si el Derecho de un Estado miembro se aplica en virtud del Derecho internacional público, el presente Reglamento también debe aplicarse a un operador que no esté establecido en la Unión, sino, por ejemplo, en una misión diplomática o en una oficina consular de un Estado miembro. . (26) Los principios de protección de datos deben aplicarse a cualquier información relativa a una persona física identificada o identificable. Los datos personales que hayan sido objeto de seudonimización y que puedan atribuirse a una persona física mediante el uso de información adicional deben considerarse información relativa a una persona física identificable. Para determinar si una persona física es identificable, se deben tener en cuenta, directa o indirectamente, todos los medios, como la individualización, que el responsable del tratamiento u otra persona utilice razonablemente con fines de identificación, directa o indirectamente, de la persona física respectiva. . Para determinar si es razonablemente probable que se utilicen medios para identificar a la persona física, se debe considerar
teniendo en cuenta todos los factores objetivos, como los costes y el intervalo de tiempo necesario para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del procesamiento como el desarrollo tecnológico. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, a la información que no está relacionada con una persona física identificada o identificable o a los datos personales anonimizados de modo que la persona en cuestión no es o ya no es identificable. Por lo tanto, esta regulación no se aplica al procesamiento de dicha información anónima, incluso si se utiliza con fines estadísticos o de investigación. (27) El presente Reglamento no se aplica a los datos personales relativos a personas fallecidas. Los Estados miembros podrán establecer normas relativas al tratamiento de datos personales relativos a personas fallecidas.
(28) La aplicación de la seudonimización de datos personales puede reducir los riesgos para las personas interesadas y puede ayudar a los operadores y a las personas facultadas por ellos a cumplir sus obligaciones en materia de protección de datos. La introducción explícita del concepto de "seudonimización" en este reglamento no pretende impedir otras posibles medidas de protección de datos.
(29) Con el fin de crear incentivos para la aplicación de la seudonimización en el tratamiento de datos personales, deben ser posibles medidas de seudonimización, al tiempo que permitan un análisis general, dentro del mismo operador, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que el presente Reglamento se implementa con respecto al procesamiento de datos respectivo y que la información adicional para la asignación de datos personales a un interesado específico se conserva por separado. El operador que procesa datos personales debe indicar las personas autorizadas dentro del mismo operador (30) Las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones IP, identificadores de cookies u otros identificadores como. Etiquetas de identificación por radiofrecuencia. Pueden dejar rastros que, especialmente cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de personas físicas e identificarlas.
(31) Autoridades públicas a las que se comunican datos personales de conformidad con una obligación legal para ejercer su función oficial, como autoridades fiscales y aduaneras, unidades de investigación financiera, autoridades administrativas independientes o autoridades del mercado financiero responsables de la regulación y vigilancia de la mercados de valores, no deben ser considerados destinatarios si reciben datos personales que sean necesarios para la realización de una determinada investigación de interés general, de conformidad con el Derecho de la Unión o el de los Estados miembros. Las solicitudes de divulgación enviadas por las autoridades públicas deben presentarse siempre por escrito, motivadas y ocasionales y no deben referirse a un sistema de registro en su totalidad ni conducir a la interconexión de sistemas de registro. El procesamiento de datos personales por parte de las respectivas autoridades públicas debe cumplir con las normas de protección de datos aplicables de acuerdo con los fines del procesamiento.
(32) El consentimiento debe otorgarse mediante una acción inequívoca que constituya una manifestación libre, específica, consciente y clara del consentimiento del interesado al procesamiento de sus datos personales, como una declaración hecha por escrito, incluso en formato electrónico o verbal. . Esto podría incluir marcar una casilla cuando la persona visita un sitio web, elegir parámetros técnicos para los servicios de la sociedad de la información o cualquier otra declaración o acción que indique claramente en este contexto la aceptación por parte del interesado del tratamiento propuesto de sus datos personales. Por lo tanto, la ausencia de una respuesta, las casillas previamente marcadas o la ausencia de una acción no deben constituir consentimiento. El consentimiento debe abarcar todas las actividades de procesamiento realizadas con el mismo fin o para los mismos fines. Si el procesamiento de datos se realiza para varios fines, se debe otorgar el consentimiento para todos los fines del procesamiento. Si el consentimiento del interesado debe otorgarse tras una solicitud enviada electrónicamente, dicha solicitud debe ser clara y concisa y no perturbar innecesariamente el uso del servicio para el cual se otorga el consentimiento.
(33) A menudo no es posible, en el momento de recoger datos personales, identificar plenamente la finalidad del tratamiento de datos con fines de investigación científica. Por este motivo, las personas interesadas
se les debe permitir expresar su consentimiento para determinadas áreas de la investigación científica cuando se respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de expresar su consentimiento solo para determinadas áreas de investigación o partes de proyectos de investigación en la medida en que lo permita el fin previsto.
(34) Los datos genéticos deben definirse como datos personales relativos a las características genéticas heredadas o adquiridas de una persona física, resultantes de un análisis de una muestra de material biológico de la persona física en cuestión, en particular un análisis cromosómico, de un análisis de ácido desoxirribonucleico (ADN) o ácido ribonucleico (ARN) o de un análisis de cualquier otro elemento que permita obtener información equivalente.
(35) Los datos personales de salud deben incluir todos los datos relacionados con la salud del interesado que revelen información sobre su salud física o mental pasada, presente o futura. Estos incluyen información sobre la persona física recopilada como parte de su registro para servicios de asistencia médica o como parte de la prestación de los respectivos servicios a la persona física en cuestión, como se menciona en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (1); un número, un símbolo o un signo distintivo asignado a una persona física para su identificación única con fines médicos; información resultante de la prueba o examen de una parte del cuerpo o una sustancia corporal, incluidos datos genéticos y muestras de material biológico; así como cualquier información relativa, por ejemplo, a una enfermedad, discapacidad, riesgo de enfermedad, historial médico, tratamiento clínico o condición fisiológica o biomédica de la persona en cuestión, independientemente de su fuente, como un médico u otro personal médico, un hospital , un dispositivo médico o una prueba de diagnóstico in vitro.
(1) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, sobre la aplicación de los derechos de los pacientes en la asistencia médica transfronteriza (DO L 88 de 4.4.2011, p. 45). (36) La sede principal de un operador en la Unión debe ser el lugar donde esté situada su administración central en la Unión, a menos que las decisiones relativas a los fines y medios del tratamiento de datos personales se adopten en otra sede del operador en la Unión. En este caso, este último debe considerarse como el establecimiento principal. La sede principal de un operador en la Unión debe determinarse según criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones sobre los fines y medios del tratamiento dentro de acuerdos estables. Este criterio no debe depender del tratamiento de datos personales en ese lugar. La presencia y uso de medios técnicos y tecnologías para el procesamiento de datos personales o actividades de procesamiento no constituyen un domicilio social y, por tanto, no son el criterio determinante al respecto. La sede principal de la persona autorizada por el operador debe ser el lugar donde esté situada su administración central en la Unión o, si no tiene una administración central en la Unión, el lugar donde se llevan a cabo las principales actividades de procesamiento en la Unión. . En los casos que afecten tanto al operador como a la persona autorizada por el operador, la autoridad de control principal competente debe seguir siendo la autoridad de control del Estado miembro en el que el operador tiene su establecimiento principal, pero la autoridad de control de la persona autorizada por el operador debe considerarse una autoridad de control específica y dicha autoridad de control debe participar en el procedimiento de cooperación previsto en el presente Reglamento. En cualquier caso, las autoridades de control del Estado miembro o Estados miembros en los que la persona autorizada por el operador tenga una o más oficinas no deben considerarse autoridades de control interesadas si el proyecto de decisión solo se refiere al operador. Si el tratamiento lo realiza un grupo de empresas, deberá considerarse como sede principal del grupo de empresas la sede principal de la empresa que ejerce el control, salvo que los fines y medios del tratamiento sean establecidos por otra empresa.
(37) Un grupo de empresas debe incluir una empresa que ejerce el control y las empresas controladas por ella, dentro del cual la empresa que ejerce el control debe ser la empresa que puede ejercer una influencia dominante sobre las demás empresas, por ejemplo en virtud de la propiedad, de de la participación financiera o de las normas que la regulan o de la competencia para implementar normas en materia de protección de datos personales. Una empresa que
controla el tratamiento de datos personales en sus empresas filiales debe ser considerada, junto con estas últimas, como un "grupo de empresas".
(38) Los niños necesitan una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, las consecuencias, las garantías en cuestión y sus derechos en relación con el tratamiento de datos personales. Esta protección específica debe aplicarse en particular al uso de datos personales de niños con fines de marketing o para crear perfiles de personalidad o de usuario y a la recopilación de datos personales de niños cuando se utilizan servicios ofrecidos directamente a niños. El consentimiento del titular de la responsabilidad parental no debería ser necesario en el contexto de los servicios de prevención o asesoramiento ofrecidos directamente a los niños.
(39) Cualquier tratamiento de datos personales debe ser legal y justo. Debería ser transparente para las personas físicas cómo se recopilan, utilizan, consultan o procesan de otro modo los datos personales que les conciernen y en qué medida se procesan o se procesarán los datos personales. El principio de transparencia establece que cualquier información y comunicación relacionada con el procesamiento de los respectivos datos personales sean fácilmente accesibles y fáciles de entender y que se utilice un lenguaje sencillo y claro. Este principio se refiere en particular a informar a los interesados sobre la identidad del operador y los fines del procesamiento, así como al suministro de información adicional, con el fin de garantizar un procesamiento justo y transparente con respecto a las personas físicas interesadas y su derecho a que se le confirme y se le comuniquen los datos personales que le conciernen y que sean tratados. Las personas deben ser informadas sobre los riesgos, normas, garantías y derechos relacionados con el procesamiento de datos personales y sobre cómo ejercer sus derechos en relación con el procesamiento. En particular, los fines específicos para los cuales se procesan los datos personales deben ser explícitos y legítimos y determinarse en el momento de la recopilación de los datos respectivos. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que se procesan. Esto requiere, en particular, garantizar que el período durante el cual se almacenan los datos personales se limite estrictamente al mínimo. Los datos personales sólo deben procesarse si el propósito del procesamiento no puede lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conserven más tiempo del necesario, el operador debe establecer plazos para su eliminación o revisión periódica. Se deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos sean rectificados o eliminados. Los datos personales deben procesarse de una manera que garantice adecuadamente su seguridad y confidencialidad, incluso para evitar el acceso no autorizado a ellos o el uso no autorizado de los datos personales y del equipo utilizado para el procesamiento.
(40) Para que el tratamiento de datos personales sea legal, debe realizarse con base en el consentimiento del interesado o en base a otro motivo legítimo, previsto por la ley, ya sea en este reglamento o en otro acto de Derecho de la Unión o de la ley interna, según lo dispuesto en este reglamento, incluida la necesidad de cumplir con las obligaciones legales a las que está sujeto el operador o la necesidad de ejecutar un contrato en el que el interesado es parte o de seguir los pasos anteriores a la celebración de un contrato, a petición del interesado.
(41) Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, no se requiere necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de las exigencias derivadas del orden constitucional del Estado miembro en cuestión. Sin embargo, tal base jurídica o tal medida legislativa debe ser clara y precisa, y su aplicación debe ser previsible para las personas a las que afecta, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea ("Tribunal de Justicia de la Unión Europea"). ") y el Tribunal Europeo de Derechos Humanos.
(42) Si el tratamiento se basa en el consentimiento del interesado, el operador debe poder demostrar que el interesado ha dado su consentimiento para la operación de tratamiento. En particular, en el contexto de una declaración escrita sobre otro asunto, las salvaguardias deben garantizar que el interesado sea consciente de que ha dado su consentimiento y en qué medida lo ha hecho. De conformidad con la Directiva 93/13/CEE del Consejo (1), debe presentarse una declaración de consentimiento formulada previamente por el operador, en forma inteligible.
y fácilmente accesible, utilizando un lenguaje claro y sencillo, y esta declaración no debe contener cláusulas abusivas. Para que el otorgamiento del consentimiento tenga conocimiento de la causa, el interesado debe conocer al menos la identidad del operador y los fines del tratamiento a los que están destinados los datos personales. El consentimiento no debe considerarse otorgado libremente si la persona interesada no tiene realmente libertad de elección o no está en condiciones de denegar o retirar el consentimiento sin verse perjudicado.
(1) Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).
(43) Para garantizar que se ha otorgado libremente, el consentimiento no debe constituir una base jurídica válida para el tratamiento de datos personales en el caso particular en el que exista un desequilibrio evidente entre el interesado y el operador, especialmente en el caso de que el operador es una autoridad pública, lo que hace improbable que se dé el consentimiento libremente en todas las circunstancias relacionadas con esa situación particular. Se considera que el consentimiento no se otorga libremente si no permite otorgar un consentimiento separado para las distintas operaciones de tratamiento de datos personales, aunque sea apropiado en el caso particular, o si la ejecución de un contrato, incluida la prestación de un servicio, está condicionado por el consentimiento, a pesar de que el consentimiento en cuestión no sea necesario para la ejecución del contrato.
(44) El tratamiento debe considerarse legal si es necesario en el marco de un contrato o para celebrar un contrato.
(45) Si el tratamiento se lleva a cabo de conformidad con una obligación legal del operador o si el tratamiento es necesario para la realización de una tarea que sirve al interés público o forma parte del ejercicio de la autoridad pública, el tratamiento debe tener un por motivos previstos en el Derecho de la Unión o en el Derecho interno. Esta regulación no exige la existencia de una ley específica para cada tratamiento individual. Una sola ley puede ser suficiente como base para varias operaciones de procesamiento realizadas de conformidad con una obligación legal del operador o si el procesamiento es necesario para la realización de una tarea que sirve a un interés público o es parte del ejercicio de la autoridad pública. . Además, la finalidad del tratamiento debe estar establecida en el derecho de la Unión o en el derecho interno. Además, el derecho respectivo podría especificar las condiciones generales de esta norma que regulan la licitud del procesamiento de datos personales, determinar las especificaciones para establecer el operador, el tipo de datos personales que son objeto de procesamiento, las personas interesadas, las entidades a quienes los datos personales pueden ser divulgados, las limitaciones dependiendo del propósito, el período de almacenamiento y otras medidas para garantizar un procesamiento legal y justo. También debe establecerse en el Derecho de la Unión o nacional si el operador que realiza una tarea que sirve a un interés público o que forma parte del ejercicio de la autoridad pública debe ser una autoridad pública u otra persona física o jurídica de Derecho público o, cuando existan razones de interés público lo justifiquen, incluso con fines médicos, como la salud pública y la protección social, así como la gestión de servicios de asistencia médica, de derecho privado, como un colegio profesional.
(46) El tratamiento de datos personales también debe considerarse legal si es necesario para garantizar la protección de un interés esencial para la vida del interesado o para la vida de otra persona física. El tratamiento de datos personales basado en los intereses vitales de otra persona física sólo debe llevarse a cabo si el tratamiento no puede basarse evidentemente en otra base jurídica. Algunos tipos de procesamiento pueden servir tanto a razones importantes de interés público como a intereses vitales del interesado, por ejemplo si el procesamiento es necesario para fines humanitarios, incluso para monitorear una epidemia y su propagación o en situaciones de emergencia humanitaria, especialmente en situaciones de desastres naturales o provocados por el hombre.
(47) Los intereses legítimos de un operador, incluidos los de un operador al que se pueden revelar datos personales o los de un tercero, pueden constituir una base jurídica para el tratamiento, siempre que los intereses o los derechos y libertades fundamentales de la persona no prevalecer dirigido, tomando
teniendo en cuenta las expectativas razonables de los interesados en función de su relación con el operador. Este interés legítimo podría existir, por ejemplo, cuando existe una relación relevante y adecuada entre el interesado y el operador, como cuando el interesado es cliente del operador o está a su servicio. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación cuidadosa, que también establecería si un interesado puede prever razonablemente, en el momento y en el contexto de la recopilación de datos personales, la posibilidad de un tratamiento con este fin. Los intereses y derechos fundamentales del interesado podrían prevalecer, en particular, en relación con el interés del responsable del tratamiento cuando los datos personales se procesen en circunstancias en las que los interesados no esperan razonablemente un procesamiento adicional. Dado que el legislador debe establecer la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, la base jurídica respectiva no debería aplicarse al tratamiento por parte de las autoridades públicas en el desempeño de sus funciones. El tratamiento de datos personales estrictamente necesario con fines de prevención del fraude también constituye un interés legítimo del operador de datos en cuestión. El tratamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo.
(48) Los operadores que forman parte de un grupo de empresas o instituciones afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo de empresas con fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales de la transferencia de datos personales, dentro de un grupo de empresas, a una empresa ubicada en un tercer país se mantienen sin cambios.
(49) El tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de las redes y de la información, en particular la capacidad de una red o de un sistema de información para hacer frente, con un determinado nivel de confianza, a acontecimientos o acciones accidentales ilegales o maliciosos que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales almacenados o transmitidos, así como la seguridad de los servicios relacionados ofrecidos por estas redes y sistemas, o accesible a través de ellos, por las autoridades públicas, los equipos de intervención en caso de emergencias informáticas, los equipos de intervención en caso de incidentes que afecten a la seguridad informática, los proveedores de redes y servicios de comunicaciones electrónicas, así como por los proveedores de servicios y tecnologías de seguridad, constituye un interés legítimo del operador de datos en cuestión. Esto podría incluir, por ejemplo, prevenir el acceso no autorizado a redes de comunicaciones electrónicas y la difusión de códigos maliciosos y detener ataques de "denegación de servicio", así como prevenir daños a computadoras y sistemas de comunicaciones electrónicas.
(50) El tratamiento de datos personales para fines distintos de aquellos para los que se recogieron inicialmente los datos personales solo debe permitirse cuando el tratamiento sea compatible con los respectivos fines para los que se recogieron inicialmente los datos personales. En este caso, no es necesaria una base jurídica distinta de aquella sobre cuya base se permitió la recopilación de datos personales. Si el procesamiento es necesario para la realización de una tarea que sirve a un interés público o que resulta del ejercicio de poderes públicos conferidos al operador, el derecho de la Unión o el derecho interno pueden establecer y especificar las tareas y fines para los cuales debe realizarse el procesamiento posterior. considerarse compatibles y legales. El procesamiento posterior con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos debe considerarse como operaciones de procesamiento legales compatibles. La base jurídica prevista en el derecho de la Unión o en el derecho interno para el tratamiento de datos personales también puede constituir una base jurídica para el tratamiento posterior. Para determinar si la finalidad del tratamiento posterior es compatible con la finalidad para la que se recogieron inicialmente los datos personales, el operador, tras cumplir todos los requisitos relativos a la legalidad del tratamiento inicial, debe tener en cuenta, entre otras cosas, cualquier conexión entre esos fines y los fines de procesamiento posteriores previstos, el contexto en el que se recopilaron los datos personales, en particular las expectativas razonables de los interesados, en función de su relación con el operador, con respecto al uso posterior de los datos, la naturaleza de los datos personales, de las consecuencias de su posterior procesamiento
esperadas de los interesados, así como la existencia de las correspondientes garantías tanto en las operaciones de tratamiento iniciales como en las operaciones de tratamiento posteriores previstas.
Si el interesado ha dado su consentimiento o el tratamiento se basa en el derecho de la Unión o en el derecho interno, lo que constituye una medida necesaria y proporcionada en una sociedad democrática para proteger, en particular, objetivos importantes de interés público general, el operador debe tener la posibilidad continuar tratando los datos personales, independientemente de la compatibilidad de las finalidades. En todo caso, debe garantizarse la aplicación de los principios establecidos por esta norma y, en particular, la información del interesado sobre estas otras finalidades y sus derechos, incluido el derecho de oposición. La indicación de posibles delitos o amenazas a la seguridad pública por parte del operador y la transmisión a una autoridad competente de datos personales pertinentes en casos individuales o en varios casos relacionados con el mismo delito o con las mismas amenazas a la seguridad pública deben considerarse como en el interés legítimo perseguido por el operador. Sin embargo, dicha transmisión en interés legítimo del operador o el procesamiento posterior de datos personales debe prohibirse si el procesamiento no es compatible con una obligación legal, profesional o de otro tipo de confidencialidad.
(51) Los datos personales que, por su naturaleza, son especialmente sensibles en términos de derechos y libertades fundamentales, requieren una protección específica, porque el contexto de su tratamiento podría generar riesgos considerables para los derechos y libertades fundamentales. Estos datos personales deben incluir datos personales que revelen el origen racial o étnico; el uso del término "origen racial" en este reglamento no implica una aceptación por parte de la Unión de teorías que buscan establecer la existencia de razas humanas separadas. El procesamiento de fotografías no debe considerarse sistemáticamente como un procesamiento de categorías especiales de datos personales, ya que las fotografías entran dentro de la definición de datos biométricos sólo en los casos en que se procesan mediante medios técnicos específicos que permiten la identificación o autenticación única de una persona física. . Dichos datos personales no deben ser tratados, salvo que el tratamiento esté permitido en los casos específicos previstos en este reglamento, teniendo en cuenta que la legislación de los estados miembros puede establecer disposiciones específicas en materia de protección de datos con el fin de adaptar la aplicación de las normas de este reglamento para cumplir con una obligación legal o para cumplir una tarea que sirva a un interés público o que resulte del ejercicio de la autoridad pública de la que está investido el operador. Además de los requisitos específicos para dicho procesamiento, deben aplicarse los principios generales y otras reglas previstas en este reglamento, especialmente en lo que respecta a las condiciones para el procesamiento legal. Deben preverse explícitamente excepciones a la prohibición general de procesar estas categorías especiales de datos personales, entre otras cosas cuando el interesado da su consentimiento explícito o en relación con necesidades específicas, especialmente cuando el procesamiento se lleva a cabo en el marco de actividades legítimas por parte de ciertos asociaciones o fundaciones cuyo objeto sea permitir el ejercicio de las libertades fundamentales.
(52) También debe permitirse una excepción a la prohibición relativa al tratamiento de categorías especiales de datos personales si así lo establece el Derecho de la Unión o el Derecho nacional y debe estar sujeta a garantías adecuadas, de modo que se protejan los datos personales y otros derechos fundamentales, cuando esto está justificado por razones de interés público, especialmente en el caso del tratamiento de datos personales en el ámbito de la legislación laboral, la protección social, incluidas las pensiones, así como con fines de seguridad, vigilancia y alerta sanitaria, para la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Esta excepción podrá concederse para fines médicos, incluida la salud pública y la gestión de servicios de asistencia médica, especialmente para garantizar la calidad y rentabilidad de los procedimientos utilizados para resolver solicitudes de prestaciones y servicios dentro del sistema de seguro de salud, o para fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos. Asimismo, debe permitirse, mediante una excepción, el tratamiento de dichos datos personales cuando sea necesario para establecer, ejercer o defender un derecho ante los tribunales, independientemente de que tenga lugar dentro de un
procedimientos ante un tribunal o dentro de un procedimiento administrativo o extrajudicial.
(53) Las categorías especiales de datos personales que requieren un mayor nivel de protección solo deben tratarse con fines relacionados con la salud cuando sea necesario para alcanzarlos en beneficio de las personas y de la sociedad en general, especialmente en el contexto de la gestión de la servicios y sistemas sanitarios o de asistencia social, incluido el tratamiento de estos datos por parte de las autoridades de gestión y de las autoridades centrales nacionales en el ámbito de la salud con fines de control de calidad, suministro de información de gestión y supervisión general de los servicios y sistemas sanitarios o sociales. sistema de asistencia sanitaria a nivel nacional y local, así como en el contexto de garantizar la continuidad de la asistencia médica o social y de la asistencia médica transfronteriza o con fines de seguridad, vigilancia y alerta sanitaria o con fines de archivo en interés público, con fines científicos o fines de investigación histórica o para fines estadísticos basados en el derecho de la Unión o en el derecho interno, que deben perseguir un objetivo de interés público, así como cuando se trate de estudios realizados en interés público en el ámbito de la salud pública. Por lo tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales de salud, teniendo en cuenta necesidades específicas, en particular cuando el tratamiento de dichos datos se lleva a cabo para determinados fines relacionados con la salud por personas sujetas a una obligación legal. obligación de guardar el secreto profesional. El Derecho de la Unión o el Derecho nacional deben prever medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben poder mantener o introducir condiciones adicionales, incluidas restricciones, en relación con el tratamiento de datos genéticos, datos biométricos o datos sanitarios. Sin embargo, esto no debería impedir la libre circulación de datos personales dentro de la Unión cuando estas condiciones se apliquen al tratamiento transfronterizo de dichos datos.
(54) El tratamiento de categorías especiales de datos personales puede ser necesario por razones de interés público en el ámbito de la salud pública, sin el consentimiento del interesado. Dicho procesamiento debe estar condicionado por medidas apropiadas y específicas diseñadas para proteger los derechos y libertades de las personas físicas. En este contexto, el concepto de "salud pública" debe interpretarse tal como se define en el Reglamento (CE) n. 1338/2008 del Parlamento Europeo y del Consejo (1), a saber, todos los elementos relacionados con la salud y, en particular, el estado de salud, incluidas la morbilidad o la discapacidad, los factores determinantes que inciden en el estado de salud, las necesidades de el ámbito de la asistencia médica, los recursos destinados a la atención médica asistencial, la prestación de la asistencia médica y la garantía del acceso universal a la misma, así como los gastos y fuentes de financiación en el ámbito de la salud y las causas de mortalidad. Este procesamiento de datos de salud por razones de interés público no debe dar lugar al procesamiento de estos datos para otros fines por parte de terceros, como empleadores o compañías de seguros y bancos.
(1) Reglamento (CE) n.º 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias relativas a la salud pública, así como a la salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).
(55) Además, el tratamiento de datos personales por parte de las autoridades públicas, para alcanzar los objetivos previstos por el Derecho constitucional o el Derecho internacional público, de asociaciones religiosas oficialmente reconocidas se realiza por razones de interés público.
(56) Si, durante las actividades electorales, el funcionamiento del sistema democrático requiere, en un Estado miembro, que los partidos políticos recopilen datos personales sobre las opiniones políticas de los individuos, el tratamiento de dichos datos podrá permitirse por razones de interés público. siempre que se proporcionen las garantías adecuadas.
(57) Si los datos personales tratados por un operador no le permiten identificar a una persona física, el operador de datos no debe tener la obligación de obtener información adicional para identificar al interesado, con el único fin de cumplir cualquiera de lo dispuesto en el presente reglamento. Sin embargo, el operador no debe negarse a recibir la información adicional proporcionada por el interesado para apoyar el ejercicio de sus derechos. La identificación debe incluir la identificación digital del interesado, por ejemplo mediante mecanismos de
autenticación, como las mismas credenciales utilizadas por el interesado para acceder a los servicios en línea ofrecidos por el operador de datos.
(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de comprender y que se utilice un lenguaje sencillo y claro, así como, en su caso, visualización. Esta información podría proporcionarse en formato electrónico, por ejemplo dirigida al público, a través de un sitio web. Esto es especialmente importante en situaciones en las que, debido a la multitud de actores y a la complejidad, desde un punto de vista tecnológico, de la práctica, es difícil para el interesado saber y comprender si los datos personales que le conciernen se recogen, por quién y con qué finalidad, como en el caso de la publicidad online. Dado que los niños requieren una protección específica, cualquier información y comunicación, si el procesamiento está dirigido a un niño, debe expresarse en un lenguaje sencillo y claro, de modo que el niño pueda entenderlo fácilmente.
(59) Deben preverse modalidades para facilitar el ejercicio por el interesado de los derechos que le confiere el presente Reglamento, incluidos los mecanismos a través de los cuales puede solicitar y, en su caso, obtener, de forma gratuita, en particular, el acceso a sus datos personales. datos, así como su rectificación o supresión, y el ejercicio del derecho de oposición. El operador también debería ofrecer formas de presentar solicitudes electrónicamente, especialmente si los datos personales se procesan por medios electrónicos. El operador debe tener la obligación de responder a las solicitudes de los interesados sin demoras injustificadas y en el plazo máximo de un mes y, en caso de que no tenga intención de atender dichas solicitudes, de motivar dicha negativa (60). ) De conformidad con los principios de tratamiento leal y transparente, se informa al interesado sobre la existencia de una operación de tratamiento y sus finalidades. El operador debe proporcionar al interesado cualquier información adicional necesaria para garantizar un procesamiento justo y transparente, teniendo en cuenta las circunstancias específicas y el contexto en el que se procesan los datos personales. Además, se deberá informar al interesado sobre la elaboración de perfiles, así como sus consecuencias. Cuando se recaben datos personales del interesado, también se le deberá informar si tiene la obligación de facilitarlos y cuáles son las consecuencias en caso de negativa. Esta información se puede proporcionar en combinación con iconos estandarizados para proporcionar de una manera fácilmente visible, inteligible y claramente legible una descripción general significativa del procesamiento previsto. Si los iconos se presentan en formato electrónico, deberían poder leerse automáticamente.
(61) La información relacionada con el tratamiento de datos personales que conciernen al interesado debe facilitársele en el momento de su recogida o, si los datos personales se obtienen de otra fuente, en un plazo razonable, en función de la circunstancias del caso. Si los datos personales pueden revelarse legítimamente a otro destinatario, se debe informar al interesado cuando los datos personales se revelan por primera vez al destinatario. Si el operador tiene la intención de procesar los datos personales para un propósito distinto de aquel para el cual fueron recopilados, el operador debe proporcionar al interesado, antes de este procesamiento posterior, información sobre el propósito secundario respectivo y otra información necesaria. Si el origen de los datos personales no pudiera comunicarse al interesado porque se utilizaron fuentes diferentes, se deberá proporcionar información general. (62) Sin embargo, no es necesario imponer la obligación de proporcionar información si el interesado ya dispone de la información, si el registro o la divulgación de datos personales está expresamente previsto por la ley o si la información al interesado resulta ser imposible o implicaría esfuerzos desproporcionados. Este último podría ser el caso, especialmente cuando el procesamiento se realiza con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos. A este respecto, se debe tener en cuenta el número de interesados, la antigüedad de los datos y las salvaguardias adecuadas adoptadas.
(63) El interesado debe tener derecho de acceso a los datos personales recopilados que le conciernen y debe ejercer este derecho fácilmente y en intervalos de tiempo razonables, para estar informado sobre el tratamiento y verificar su legalidad. Esto incluye el derecho de los interesados a tener acceso a sus datos de salud, por ejemplo, datos de sus registros.
registros médicos que contengan información como diagnósticos, resultados de exámenes, evaluaciones de los médicos tratantes y cualquier tratamiento o intervención realizada. Por lo tanto, todo interesado debe tener derecho a conocer y a ser informado, en particular, de los fines para los cuales se procesan los datos, si es posible del período durante el cual se procesan los datos personales, de los destinatarios de los datos personales, de la lógica del procesamiento automático tratamiento de datos personales y, al menos si se basa en la elaboración de perfiles, las consecuencias de dicho tratamiento. Si esto es posible, el responsable del tratamiento debería poder proporcionar acceso remoto a un sistema seguro que proporcione al interesado acceso directo a sus datos personales. Este derecho no debe afectar los derechos o libertades de otros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de autor que garantizan la protección de los programas de software. Sin embargo, las consideraciones anteriores no deben dar lugar a la negativa a proporcionar toda la información al interesado. Cuando el operador procese un gran volumen de información sobre el interesado, deberá poder solicitar que, antes de facilitarle la información, el interesado especifique la información o las actividades de tratamiento a las que se refiere su solicitud. (64) El operador debe tomar todas las medidas razonables para verificar la identidad del interesado que solicita acceso a los datos, en particular en el contexto de los servicios e identificadores en línea. Un operador no debe conservar datos personales con el único fin de poder responder a posibles solicitudes.
(65) El interesado debe tener derecho a la rectificación de los datos personales que le conciernen y el "derecho al olvido" si la conservación de estos datos viola el presente Reglamento, el Derecho de la Unión o el Derecho interno al que se rige el operador. En particular, los interesados deben tener derecho a que sus datos personales se eliminen y dejen de procesarse, si los datos personales ya no son necesarios para los fines para los que se recopilan o se procesan, si los interesados han retirado su consentimiento. para el tratamiento o en el caso de que se opongan al tratamiento de sus datos personales o en el caso de que el tratamiento de sus datos personales no se ajuste a esta normativa. Este derecho es especialmente relevante si el interesado dio su consentimiento cuando era niño y no era plenamente consciente de los riesgos que implicaba el procesamiento, y posteriormente desea eliminar dichos datos personales, especialmente de Internet. La persona interesada debe tener la oportunidad de ejercer este derecho a pesar de que ya no sea un niño. Sin embargo, la retención continua de datos personales debe ser legal si es necesaria para ejercer el derecho a la libertad de expresión e información, para cumplir con una obligación legal, para cumplir una tarea que sirva a un interés público o que resulte del ejercicio de la autoridad pública conferida al operador, por razones de interés público en el ámbito de la salud pública, con fines de archivo de interés público, con fines de investigación científica o histórica o con fines estadísticos o de verificación, Ejercer o defender un derecho ante un tribunal.
(66) Para reforzar el "derecho al olvido" en el entorno en línea, el derecho de supresión debe ampliarse de modo que un operador que haya hecho públicos datos personales tenga la obligación de informar a los operadores que procesan dichos datos personales. eliminar cualquier enlace a los respectivos datos o copias o reproducciones de los mismos. A tal efecto, el operador en cuestión deberá tomar medidas razonables, teniendo en cuenta la tecnología disponible y los medios a su disposición, incluidas medidas técnicas, para informar a los operadores que procesan los datos personales sobre la solicitud del interesado.
(67) Los métodos para restringir el tratamiento de datos personales podrían incluir, entre otros, el traslado temporal de datos personales seleccionados a otro sistema de tratamiento, o la cancelación del acceso de los usuarios a los datos seleccionados o la eliminación temporal de los datos publicados por un sitio. En lo que respecta a los sistemas automatizados de registro de datos, la limitación del procesamiento debe, en principio, garantizarse por medios técnicos de tal manera que los datos personales no estén sujetos a operaciones de procesamiento posteriores y no puedan modificarse. El hecho de que el tratamiento de datos personales esté restringido deberá indicarse claramente en el sistema.
(68) Para aumentar aún más el control sobre sus propios datos, el interesado debe, en caso de que los datos personales se procesen por medios automáticos, poder recibir los datos personales que le conciernen y que haya proporcionado a un operador, en un formato estructurado, de uso actual, procesado automáticamente e interoperable y poder transmitirlos a otro operador. Se debe alentar a los operadores de datos a desarrollar formatos interoperables que permitan la portabilidad de los datos. Este derecho debe aplicarse si el interesado ha proporcionado los datos personales basándose en su propio consentimiento o si el procesamiento de datos es necesario para la ejecución de un contrato. Este derecho no debería aplicarse si el procesamiento se basa en otra base jurídica distinta del consentimiento o el contrato. Por su propia naturaleza, este derecho no debe ejercerse contra los operadores que procesan datos personales en el ejercicio de sus funciones públicas. No debería aplicarse en particular si el procesamiento de datos personales es necesario para cumplir con una obligación legal a la que está sujeto el operador o en el caso de la realización de una tarea que sirve a un interés público o resulta del ejercicio de una autoridad pública de la que está investido el operador. El derecho del interesado a transmitir o recibir datos personales que le conciernen no debe crear para los operadores la obligación de adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Si en un determinado conjunto de datos personales intervienen varios interesados, el derecho a recibir datos personales no debe afectar a los derechos y libertades de otros interesados, de conformidad con el presente reglamento. Asimismo, este derecho no debe afectar al derecho del interesado a obtener la supresión de sus datos personales ni a las limitaciones de ese derecho, según lo dispuesto en este reglamento, y no debe implicar, en particular, la supresión de aquellos datos personales relacionados con el interesado que fueron proporcionados por él para la ejecución de un contrato, en la medida y mientras los datos respectivos sean necesarios para la ejecución del contrato. El interesado debe tener derecho a que sus datos personales se transmitan directamente de un operador a otro, si esto es técnicamente posible.
(69) En los casos en que los datos personales puedan tratarse legalmente porque el tratamiento es necesario para la realización de una tarea que sirve a un interés público o que resulta del ejercicio de poderes públicos conferidos al operador o se basa en los intereses legítimos de un operador o un tercero, el interesado debe seguir teniendo derecho a oponerse al tratamiento de cualquier dato personal relacionado con su situación particular. Debería ser responsabilidad del operador demostrar que sus intereses legítimos y apremiantes prevalecen sobre los intereses o derechos y libertades fundamentales del interesado.
(70) Si los datos personales se tratan con fines de marketing directo, el interesado debe tener derecho a oponerse a dicho tratamiento, incluida la creación de perfiles en la medida en que esté relacionado con el marketing directo, independientemente de si el tratamiento en cuestión es el uno inicial o uno posterior, en cualquier momento y de forma gratuita. Este derecho debe señalarse explícitamente a la atención del interesado y presentarse de forma clara y separada de cualquier otra información.
(71) El interesado debe tener derecho a no estar sujeto a una decisión, que puede incluir una medida que evalúe aspectos personales que le conciernen y que se base exclusivamente en
tratamiento automático y que produzca efectos jurídicos que conciernen al interesado o le afecten de manera similar de forma significativa, como la denegación automática de una solicitud de crédito en línea o prácticas de contratación electrónica, sin intervención humana. Dicho procesamiento incluye la "elaboración de perfiles", que consiste en cualquier forma de procesamiento automático de datos personales.
mediante la evaluación de los aspectos personales relativos a una persona física, especialmente para analizar o predecir determinados aspectos relativos al desempeño en el lugar de trabajo del interesado, la situación económica, el estado de salud, las preferencias o intereses personales, la fiabilidad o el comportamiento,
la ubicación o los movimientos, cuando ello produzca efectos jurídicos que conciernan al interesado o le afecte de manera similar de forma significativa. Sin embargo, debe permitirse la toma de decisiones sobre la base de dicho tratamiento, incluida la elaboración de perfiles, cuando esté expresamente autorizado por el Derecho de la Unión o el Derecho nacional aplicable al operador, incluso con el fin de
el seguimiento y la prevención del fraude y la evasión fiscal, realizados de conformidad con la normativa,
las normas y recomendaciones de las instituciones de la Unión o de los organismos nacionales de supervisión, y con el fin de garantizar la seguridad y fiabilidad de un servicio ofrecido por el operador o en caso de que sea
necesario para la celebración o ejecución de un contrato entre el interesado y un operador o si el interesado ha dado explícitamente su consentimiento. En cualquier caso, dicho tratamiento debe estar sujeto a garantías adecuadas, que deben incluir una información específica del interesado y su derecho a obtener la intervención humana, a
expresar el punto de vista, recibir una explicación sobre la decisión adoptada tras dicha evaluación,
así como el derecho a apelar la decisión. Tal medida no debería referirse a un niño.
Para garantizar un procesamiento justo y transparente con respecto al interesado, teniendo en cuenta
Dadas las circunstancias específicas y el contexto en el que se procesan los datos personales, el operador debe utilizar procedimientos matemáticos o estadísticos apropiados para crear perfiles, implementar medidas técnicas y organizativas apropiadas para garantizar, en particular, que los factores que conducen a inexactitudes de los datos de un personal naturaleza se corrigen y que el riesgo de errores es
reducir al mínimo, así como proteger los datos personales de una manera que tenga en cuenta los peligros potenciales para los intereses y derechos del interesado y evitar, entre otras cosas, efectos discriminatorios contra las personas por motivos de raza o etnia. origen, opiniones política, religión
o creencias, afiliación sindical, características genéticas, estado de salud u orientación sexual o tratamientos que conduzcan a medidas que tengan tales efectos. Debe permitirse la toma de decisiones automatizada y la elaboración de perfiles basados en categorías especiales de datos personales.
sólo bajo condiciones específicas.
(el 23 de mayo de 2018, párrafo (71
) corregido por el punto 1. de la Corrección del 23 de mayo de 2018 )
(72) La creación de perfiles está sujeta a las normas de este reglamento que regulan el tratamiento de datos personales, como las bases jurídicas del tratamiento o los principios de protección de datos. El Comité Europeo de Protección de Datos establecido por el presente Reglamento ("el Comité") debe poder emitir directrices en este contexto.
(73) El Derecho de la Unión o el Derecho interno pueden imponer restricciones en relación con principios específicos, en relación con el derecho a la información, el derecho de acceso a los datos personales y su rectificación o supresión, en relación con el derecho a la portabilidad de los datos, el derecho de oposición, de decisiones basadas en la creación de perfiles, así como la comunicación de una violación de la seguridad de los datos personales al interesado y determinadas obligaciones relacionadas de los operadores, en la medida en que sea necesario y proporcionado en una sociedad democrática para la seguridad pública está garantizada, incluida la protección de la vida humana, especialmente en respuesta a desastres naturales o provocados por el hombre, la prevención, investigación y enjuiciamiento de delitos o la ejecución de sentencias, incluida la protección contra amenazas a la seguridad pública o contra violaciones éticas en el caso de profesiones reguladas y su prevención, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, el mantenimiento de registros públicos por razones de interés público general , el procesamiento posterior de datos personales archivados para transmitir información específica relacionada con el comportamiento político durante los regímenes de antiguos estados totalitarios, la protección del interesado o los derechos y libertades de terceros, incluida la protección social, la salud pública y fines humanitarios. Estas restricciones deben cumplir con los requisitos establecidos por la Carta y el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales.
(74) Debe establecerse la responsabilidad del operador por cualquier tratamiento de datos personales realizado por él o en su nombre. En particular, el operador debe estar obligado a implementar medidas adecuadas y efectivas y ser capaz de demostrar el cumplimiento de las actividades de procesamiento con este reglamento, incluida la efectividad de las medidas. Estas medidas deben tener en cuenta la naturaleza, alcance, contexto y finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.
(75) El riesgo para los derechos y libertades de las personas físicas, presentando diferentes grados de probabilidad de materialización y gravedad, puede resultar de un tratamiento de datos personales que podría generar daños de naturaleza física, material o moral, especialmente en los casos en el que: el procesamiento puede dar lugar a discriminación, robo de identidad o fraude, pérdida financiera, compromiso
reputación, pérdida de confidencialidad de datos personales protegidos por el secreto profesional, anulación no autorizada de seudonimización o cualquier otro inconveniente significativo de carácter económico o social; los interesados podrían verse privados de sus derechos y libertades o impedirles ejercer control sobre sus datos personales; Los datos personales tratados son datos que revelan origen racial o étnico, opiniones políticas, religión o creencias filosóficas, afiliación sindical; se procesen datos genéticos, datos de salud o datos de vida sexual o condenas e infracciones penales o medidas de seguridad relacionadas; Se evalúan aspectos de carácter personal, en particular el análisis o previsión de aspectos relacionados con el desempeño en el trabajo, la situación económica, el estado de salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la ubicación o los viajes, con el fin de crear perfiles personales. ; se procesan datos personales de personas vulnerables, especialmente niños; o el tratamiento implica un gran volumen de datos personales y afecta a un gran número de interesados.
(76) La probabilidad de materialización y la gravedad del riesgo para los derechos y libertades del interesado deben determinarse en función de la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales. El riesgo debe evaluarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de procesamiento de datos presentan un riesgo o un riesgo elevado. (77) Directrices para la aplicación de medidas apropiadas y para la demostración del cumplimiento por parte del operador o de la persona autorizada por el operador, especialmente en lo que respecta a la identificación del riesgo relacionado con el procesamiento, su evaluación desde el punto de vista del origen, la naturaleza , la probabilidad de materialización y la gravedad, así como la identificación de buenas prácticas para mitigar el riesgo, podrían proporcionarse, en particular, a través de códigos de conducta aprobados, certificaciones aprobadas, directrices de comités o mediante indicaciones proporcionadas por un delegado de protección de datos. El Comité también podrá emitir orientaciones sobre operaciones de tratamiento que se considere poco probable que representen un alto riesgo para los derechos y libertades de las personas físicas e indicar las medidas que pueden resultar suficientes en tales casos para abordar dicho riesgo.
(78) La protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales requiere la adopción de medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los requisitos del presente Reglamento. Para poder demostrar el cumplimiento de este reglamento, el operador debe adoptar políticas internas e implementar medidas que respeten, en particular, el principio de protección de datos desde el momento de la concepción y el de protección implícita de datos. Tales medidas podrían consistir, entre otras, en minimizar el procesamiento de datos personales, seudonimizar estos datos lo antes posible, transparencia en cuanto a las funciones y el procesamiento de datos personales, facultar al interesado para controlar el procesamiento de datos, permitir al operador crear elementos de seguridad. y mejorarlos. Al desarrollar, diseñar, seleccionar y utilizar aplicaciones, servicios y productos que dependen del procesamiento de datos personales o que procesan datos personales para cumplir su función, se debe alentar a los fabricantes de estos productos y a los proveedores de estos servicios y aplicaciones a tener en cuenta tener en cuenta el derecho a la protección de datos en el momento del desarrollo y diseño de dichos productos, servicios y aplicaciones y, teniendo en cuenta la etapa actual de desarrollo, para garantizar que los operadores y las personas autorizadas por los operadores puedan cumplir con sus obligaciones en materia de a la protección de datos. El principio de protección de datos desde el momento de la concepción y el de protección implícita de datos también deben tenerse en cuenta en el contexto de las licitaciones públicas.
(79) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los operadores y de las personas autorizadas por el operador, incluso en términos de control por parte de las autoridades de control y de las medidas adoptadas por ellas, requiere una atribución clara de responsabilidades en virtud de este reglamento, incluso si un operador establece los propósitos y medios del procesamiento junto con otros operadores o si una operación de procesamiento se lleva a cabo en nombre de un operador.
(80) Cuando un operador o una persona autorizada por el operador que no esté establecido en la Unión trate datos personales de interesados ubicados en el territorio de la Unión, y
sus actividades de procesamiento están relacionadas con el suministro de bienes o servicios a dichos interesados en la Unión, independientemente de si el interesado solicita o no un pago, o con el seguimiento del comportamiento de los interesados si ocurre dentro de la Unión , el operador o la persona autorizada por el operador debe nombrar un representante, a menos que el procesamiento sea de naturaleza ocasional, no incluya el procesamiento a gran escala de categorías especiales de datos personales, ni el procesamiento de datos relacionados con condenas e infracciones penales. , y es poco probable que genere un riesgo para los derechos y libertades de las personas físicas, considerando la naturaleza, el contexto, el alcance y los fines del procesamiento, así como el caso en que el operador sea una autoridad pública o un organismo público. El representante deberá actuar en nombre del operador o de la persona autorizada por éste, pudiendo ser contactado por cualquier autoridad de control. El representante deberá ser designado explícitamente, mediante mandato escrito del operador o de la persona autorizada por el operador, para actuar en su nombre con respecto a sus obligaciones bajo este reglamento. El nombramiento de dicho representante no afecta la responsabilidad del operador o de la persona autorizada por el operador conforme a este reglamento. Dicho representante deberá desempeñar sus funciones de conformidad con el mandato recibido del operador o de la persona autorizada por el operador, incluida la cooperación con las autoridades de supervisión competentes en relación con cualquier medida adoptada para garantizar el cumplimiento del presente reglamento. El representante designado debe estar sujeto a procedimientos para garantizar el cumplimiento de la ley en caso de incumplimiento de este reglamento por parte del operador o de la persona autorizada por el operador.
(81) Para garantizar el cumplimiento de los requisitos impuestos por el presente Reglamento en relación con el tratamiento que debe realizar en nombre del operador la persona autorizada por el operador, al asignar actividades de tratamiento a una persona autorizada por el operador, esta última Sólo deberá recurrir a personas autorizadas que ofrezcan garantías suficientes, especialmente en términos de conocimientos especializados, fiabilidad y recursos, para implementar medidas técnicas y organizativas que cumplan con los requisitos impuestos por este reglamento, incluida la seguridad del procesamiento. La adhesión de la persona autorizada por el operador a un código de conducta aprobado o a un mecanismo de certificación aprobado puede utilizarse como elemento para demostrar el cumplimiento de las obligaciones del operador. La realización del tratamiento por una persona autorizada por un operador debe estar regulada por un contrato u otro tipo de acto jurídico, basado en el Derecho de la Unión o en el derecho interno, que cree obligaciones para la persona autorizada por el operador en relación con el operador y que establece el objeto y la duración del procesamiento, la naturaleza y los propósitos del procesamiento, el tipo de datos personales y las categorías de personas interesadas, y debe tener en cuenta las tareas y responsabilidades específicas de la persona autorizada por el operador en el contexto del tratamiento a realizar, así como el riesgo para los derechos y libertades del interesado. El operador y la persona autorizada por el operador podrán optar por utilizar un contrato individual o cláusulas contractuales tipo que sean adoptadas directamente por la Comisión o por una autoridad de control de conformidad con el mecanismo de coherencia y luego adoptadas por la Comisión. Después de completar el procesamiento en nombre del operador, la persona autorizada por el operador debe devolver o eliminar, según la opción del operador, los datos personales, a menos que exista un requisito de almacenar datos personales según el derecho de la Unión o el derecho interno que establece obligaciones para la persona autorizada por el operador.
(82) Para demostrar el cumplimiento del presente Reglamento, el operador o la persona autorizada por el operador debe mantener registros de las actividades de procesamiento bajo su responsabilidad. Cada operador y cada persona autorizada por el operador debe tener la obligación de cooperar con la autoridad de control y de poner a su disposición, cuando así lo solicite, estos registros, de modo que puedan utilizarse con el fin de controlar las respectivas operaciones de tratamiento. (83) Para mantener la seguridad y evitar tratamientos que infrinjan el presente Reglamento, el operador o la persona autorizada por el operador debe evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Esas medidas deben garantizar un nivel adecuado de seguridad, incluida la confidencialidad, teniendo en cuenta el estado actual de desarrollo y los costes de aplicación en relación con los riesgos y la naturaleza de los datos con
carácter personal cuya protección debe garantizarse. Al evaluar el riesgo para la seguridad de los datos personales, se debe prestar atención a los riesgos que plantea el procesamiento de datos, como destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales transmitidos, almacenados o procesados de otra manera, accidentalmente o ilegalmente, lo que puede provocar, en particular, daños físicos, materiales o morales.
(84) Para promover el cumplimiento de las disposiciones del presente Reglamento en los casos en que las operaciones de tratamiento puedan generar un alto riesgo para los derechos y libertades de las personas físicas, el operador debe ser responsable de realizar una evaluación de impacto en la protección de datos. que estima, en particular, el origen, la naturaleza, la especificidad y la gravedad de este riesgo. El resultado de la evaluación debe tenerse en cuenta a la hora de determinar las medidas apropiadas que se deben tomar para demostrar que el tratamiento de datos personales cumple con este reglamento. Si una evaluación del impacto en la protección de datos muestra que las operaciones de procesamiento implican un alto riesgo, que el operador no puede mitigar con medidas adecuadas en términos de la tecnología disponible y los costos de implementación, se debe realizar una consulta a la autoridad de protección de datos. antes del procesamiento.
(85) Si no se resuelve a tiempo y de forma adecuada, una violación de la seguridad de los datos personales puede provocar daños físicos, materiales o morales a las personas físicas, como la pérdida de control sobre sus datos personales o la limitación de sus derechos, discriminación, suplantación de identidad o fraude, pérdida financiera, anulación no autorizada de seudonimización, compromiso reputacional, pérdida de confidencialidad de datos personales protegidos por el secreto profesional o cualquier otro perjuicio significativo de carácter económico o social para la persona física de que se trate. Por lo tanto, tan pronto como tenga conocimiento de una violación de la seguridad de los datos personales, el operador debe notificar dicha violación a la autoridad de control sin demora indebida y, si es posible, a más tardar 72 horas después de tener conocimiento de su existencia, a menos que el operador esté capaz de demostrar, de conformidad con el principio de responsabilidad, que la violación de la seguridad de los datos personales no es probable que genere un riesgo para los derechos y libertades de las personas físicas. Cuando la notificación no pueda realizarse en el plazo de 72 horas, deberá incluirse los motivos del retraso, pudiendo facilitarse la información de forma paulatina, sin más demoras.
(86) El operador debe comunicar al interesado una violación de la seguridad de los datos personales, sin demora indebida, cuando la violación pueda generar un riesgo elevado para los derechos y libertades de la persona física, para permitirle tomar las medidas necesarias. precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales e incluir recomendaciones para la persona física en cuestión con el fin de mitigar cualquier efecto negativo. Las comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, respetando las directrices proporcionadas por ésta u otras autoridades competentes, como las autoridades encargadas de hacer cumplir la ley. Por ejemplo, la necesidad de mitigar un riesgo inmediato de daño requeriría una comunicación rápida a los interesados, mientras que la necesidad de implementar medidas apropiadas contra futuras violaciones de la seguridad de los datos personales o violaciones similares de la seguridad de los datos personales podría justificar un plazo más largo para la comunicación. (87) Debe determinarse si se han aplicado todas las medidas organizativas y de protección tecnológica adecuadas para determinar inmediatamente si se ha producido una violación de la seguridad de los datos personales e informar rápidamente a la autoridad de control y a la persona afectada. El hecho de que la notificación se haya realizado sin demora indebida debe establecerse teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales, así como sus consecuencias y efectos negativos para el interesado. Esta notificación podrá dar lugar a una intervención de la autoridad de control, de acuerdo con las funciones y competencias especificadas en este reglamento.
(88) Al establecer normas detalladas sobre el formato y los procedimientos aplicables a la notificación de violaciones de la seguridad de los datos personales, debe prestarse la debida atención a las circunstancias en las que se produjo la violación, incluido el establecimiento de si la protección de los datos personales
personal estaba o no garantizada por medidas técnicas de protección adecuadas, que limitarían efectivamente la probabilidad de fraude de identidad u otras formas de uso abusivo. Además, dichas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades encargadas de hacer cumplir la ley en los casos en que la divulgación temprana pueda complicar innecesariamente la investigación de las circunstancias en las que se produjo una violación de datos personales.
(89) La Directiva 95/46/CE establecía una obligación general de notificar el tratamiento de datos personales a las autoridades de control. Si bien la obligación respectiva genera cargas administrativas y financieras, no siempre ha contribuido a la mejora de la protección de los datos personales. Por lo tanto, estas obligaciones de notificación general indiferenciadas deberían derogarse y sustituirse por procedimientos y mecanismos eficaces que se centren en aquellos tipos de operaciones de tratamiento que puedan generar un alto riesgo para los derechos y libertades de las personas físicas por su propia naturaleza, por su alcance, por su contexto y sus objetivos. Estos tipos de operaciones de tratamiento pueden ser aquellas que presuponen, en particular, el uso de nuevas tecnologías o que representan un nuevo tipo de operaciones para las cuales el operador no ha realizado previamente ninguna evaluación de impacto en materia de protección de datos o que se vuelven necesarias en la fecha de la período de tiempo transcurrido desde el procesamiento inicial.
(90) En tales casos, el operador debe realizar, antes del tratamiento, una evaluación del impacto en la protección de datos, con el fin de evaluar el grado específico de probabilidad de que se materialice el riesgo elevado y su gravedad, teniendo en cuenta la naturaleza, el alcance , el contexto y finalidades del tratamiento, así como las fuentes de riesgo. La respectiva evaluación de impacto deberá incluir, en particular, las medidas, garantías y mecanismos considerados para mitigar el riesgo respectivo, asegurar la protección de los datos personales y demostrar el cumplimiento de esta regulación.
(91) Esto debería aplicarse, en particular, a las operaciones de tratamiento a gran escala, cuyo objetivo es tratar un volumen considerable de datos personales a nivel regional, nacional o supranacional, que podrían afectar a un gran número de personas a las que se dirigen y que probablemente generan un alto riesgo, por ejemplo, por su sensibilidad, si, de acuerdo con el nivel de conocimiento tecnológico alcanzado, se utiliza a gran escala una nueva tecnología, así como otras operaciones de procesamiento que generan un alto riesgo para los derechos y libertades de los interesados, especialmente si las respectivas operaciones limitan la capacidad de los interesados de ejercer sus derechos. También debe llevarse a cabo una evaluación del impacto en la protección de datos en situaciones en las que se procesen datos personales con el fin de tomar decisiones dirigidas a determinadas personas físicas, tras una evaluación sistemática y exhaustiva de los aspectos personales relacionados con las personas físicas, basada en la creación de perfiles para los datos respectivos, o tras el procesamiento de categorías especiales de datos personales, datos biométricos o datos relativos a condenas e infracciones penales o medidas de seguridad relacionadas. Una evaluación del impacto en la protección de datos es igualmente necesaria para el control a gran escala de áreas accesibles al público, especialmente en el caso del uso de dispositivos optoelectrónicos o para cualquier otra operación en la que la autoridad de control competente considere que el procesamiento es probable. generar un riesgo elevado para los derechos y libertades de los interesados, en particular porque impiden a los interesados ejercer un derecho o utilizar un servicio o contrato, o porque se llevan a cabo sistemáticamente a gran escala. El procesamiento de datos personales no debe considerarse a gran escala si el procesamiento se refiere a datos personales de pacientes o clientes por parte de un médico, otro profesional de la salud o un abogado en particular. En estos casos, una evaluación de impacto de la protección de datos no debería ser obligatoria.
(92) En algunas circunstancias, puede ser razonable y económicamente útil que una evaluación de impacto en materia de protección de datos tenga una perspectiva más amplia que la de un solo proyecto, por ejemplo cuando las autoridades u organismos públicos tienen la intención de establecer una aplicación o plataforma de procesamiento común o en caso de que varios operadores pretenden introducir una aplicación común o un entorno de procesamiento común dentro de un sector o segmento industrial o para una actividad horizontal utilizada a gran escala.
(93) En el contexto de la adopción de la legislación nacional en la que se basa el cumplimiento de las funciones de la autoridad pública o del organismo público y que regula la operación o la serie de operaciones de tratamiento en cuestión, los Estados miembros pueden considerar necesario llevar a cabo dicha evaluación antes de llevar a cabo las actividades de procesamiento.
(94) Si una evaluación de impacto sobre la protección de datos muestra que el tratamiento generaría, en ausencia de garantías, medidas de seguridad y mecanismos de mitigación de riesgos, un riesgo elevado para los derechos y libertades de las personas físicas, y el operador considera que el riesgo no Si esto no puede mitigarse por medios razonables en términos de tecnologías disponibles y costos de implementación, se debe consultar a la autoridad de control antes de iniciar las actividades de procesamiento. Es probable que determinados tipos de procesamiento generen un riesgo tan elevado, así como el alcance y la frecuencia del procesamiento, que también pueden provocar daños o afectar los derechos y libertades de las personas físicas. La autoridad de control deberá responder a la solicitud de consulta en un plazo determinado. Sin embargo, la falta de reacción de la autoridad de control dentro del plazo respectivo no debe afectar cualquier intervención de la autoridad de control de acuerdo con sus tareas y poderes previstos en este reglamento, incluida la facultad de prohibir operaciones de procesamiento. En el marco de este proceso de consulta, podrá transmitirse a la autoridad de control el resultado de una evaluación de impacto en materia de protección de datos realizada con respecto al tratamiento en cuestión, en particular las medidas previstas para mitigar el riesgo para los derechos y libertades de las personas físicas.
(95) La persona autorizada por el operador debe ayudarle, si es necesario y previa solicitud, a garantizar el cumplimiento de las obligaciones derivadas de la realización de evaluaciones de impacto en materia de protección de datos y de la consulta previa con la autoridad de control.
(96) Durante la redacción de una medida legislativa o reglamentaria que prevea el tratamiento de datos personales, también debe realizarse una consulta con la autoridad de control, a fin de garantizar la conformidad del tratamiento contemplado en el presente reglamento y, en especial, para mitigar el riesgo al que está expuesta la persona interesada.
(97) Si el tratamiento lo lleva a cabo una autoridad pública, con excepción de los tribunales o autoridades judiciales independientes cuando actúen en su capacidad judicial, si, en el sector privado, el tratamiento lo lleva a cabo un operador cuya actividad principal consiste en operaciones de tratamiento que requieran un seguimiento regular y sistemático de las personas interesadas a gran escala, o si la actividad principal del operador o de la persona autorizada por el operador consiste en el tratamiento a gran escala de categorías especiales de datos personales y de datos relacionados con delitos condenas e infracciones, una persona que tenga conocimientos especializados de la legislación y las prácticas relativas a la protección de datos debe ayudar al operador o a la persona autorizada por el operador a controlar el cumplimiento interno de este reglamento. En el sector privado, las principales actividades de un operador se refieren a sus actividades principales y no al procesamiento de datos personales como actividades auxiliares. El nivel necesario de conocimientos especializados debe establecerse, en particular, en función de las operaciones de tratamiento de datos realizadas y del nivel de protección requerido para los datos personales tratados por el operador o la persona autorizada por el operador. Estos delegados de protección de datos, con independencia de que sean o no empleados del operador, deben poder desempeñar sus funciones y tareas de forma independiente.
(98) Debe alentarse a las asociaciones u otros organismos que representen categorías de operadores o personas autorizadas por los operadores a desarrollar códigos de conducta, dentro de los límites del presente Reglamento, a fin de facilitar la aplicación efectiva del mismo, teniendo en cuenta las características específicas de la transformación realizada en determinados sectores y las necesidades específicas de las microempresas y de las pequeñas y medianas empresas. En particular, dichos códigos de conducta podrían ajustar las obligaciones de los operadores y de las personas autorizadas por los operadores, teniendo en cuenta el riesgo relacionado con el procesamiento que probablemente se genere para los derechos y libertades de las personas físicas.
(99) Cuando elaboran un código de conducta o lo modifican o amplían, las asociaciones y otros organismos que representan categorías de operadores o personas autorizadas por
Los operadores deben consultar a las partes interesadas pertinentes, incluidos los interesados, si es posible, y tener en cuenta las contribuciones presentadas y las opiniones expresadas en dichas consultas. (100) Para mejorar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación, así como de sellos y marcas de protección de datos, que permitan a los interesados evaluar rápidamente el nivel de protección de datos relacionados con los productos y servicios pertinentes.
(101) Los flujos de datos personales hacia y desde países situados fuera de la Unión y organizaciones internacionales son necesarios para el desarrollo del comercio internacional y la cooperación internacional. El crecimiento de estos flujos ha generado nuevos desafíos y preocupaciones en materia de protección de datos personales. Sin embargo, si los datos personales se transfieren desde la Unión a operadores, personas autorizadas por los operadores u otros destinatarios de terceros países u organizaciones internacionales, el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento no debe reducirse, incluso en casos de transferencias posteriores de datos personales desde el tercer país u organización internacional a operadores, personas autorizadas por operadores del mismo o de otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales sólo podrán realizarse con el pleno cumplimiento de esta normativa. Una transferencia solo podría tener lugar si, sujeto al cumplimiento de las demás disposiciones de este reglamento, el operador o la persona autorizada por el operador cumple las condiciones estipuladas por las disposiciones de este reglamento en materia de transferencia de datos personales a terceros países u organizaciones internacionales. .
(102) El presente Reglamento no afecta a los acuerdos internacionales celebrados entre la Unión y terceros países para regular la transferencia de datos personales, incluidas garantías adecuadas para las personas interesadas. Los Estados miembros podrán celebrar acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales, siempre que dichos acuerdos no afecten al presente Reglamento ni a otras disposiciones del Derecho de la Unión e incluyan un nivel adecuado de protección de los derechos fundamentales de las personas afectadas.
(103) La Comisión puede decidir, con efectos en toda la Unión, que un tercer país, un territorio o un sector determinado de un tercer país o de una organización internacional ofrece un nivel adecuado de protección de datos, garantizando así la seguridad jurídica y la uniformidad en la Unión. en relación con el tercer país u organización internacional que se considera que proporciona tal nivel de protección. En estos casos, las transferencias de datos personales al respectivo tercer país u organización internacional podrán realizarse sin necesidad de obtener autorizaciones adicionales. Además, la Comisión podrá decidir, tras enviar una notificación y una justificación completa al tercer país o a la organización internacional, anular dicha decisión.
(104) De conformidad con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión debe, en su evaluación del tercer país o de un territorio o sector específico de un tercer país, tener en cuenta cuenta cómo respeta el estado de derecho, el acceso a la justicia, así como las normas y estándares internacionales de derechos humanos y su legislación general y sectorial, incluida la legislación sobre seguridad pública, defensa y seguridad nacional, así como el orden público y el derecho penal. La toma de decisiones sobre la idoneidad del nivel de protección para un territorio o sector específico en un tercer país debe tener en cuenta criterios claros y objetivos, como las actividades de procesamiento específicas y el alcance de las normas legales aplicables y la legislación vigente en el respectivo país. tercer país. El tercer país debe ofrecer garantías que aseguren un nivel adecuado de protección, esencialmente equivalente al proporcionado dentro de la Unión, especialmente cuando los datos personales se procesan en uno o más sectores específicos. En particular, el tercer país debe garantizar una supervisión independiente y eficaz de la protección de datos y proporcionar mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros, y los interesados deben beneficiarse de derechos efectivos y exigibles y de recursos eficaces a nivel administrativo y judicial.
(105) Además de los compromisos internacionales asumidos por el tercer país u organización internacional, la Comisión debe tener en cuenta las obligaciones derivadas de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en lo que respecta a la protección de datos. con
carácter personal, así como el cumplimiento de dichas obligaciones. En particular, debe tenerse en cuenta la adhesión del tercer país al Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas físicas en lo que respecta al tratamiento automatizado de datos personales y al protocolo adicional. La Comisión debería consultar al Comité al evaluar el nivel de protección en terceros países u organizaciones internacionales.
(106) La Comisión debe supervisar el funcionamiento de las decisiones relativas al nivel de protección en un tercer país o un territorio o un sector específico en un tercer país o en una organización internacional y supervisar el funcionamiento de las decisiones adoptadas con arreglo al artículo 25, apartado 6. ) o del artículo 26, apartado 4, de la Directiva 95/46/CE. En sus decisiones sobre la adecuación del nivel de protección, la Comisión debería prever un mecanismo para la revisión periódica de su funcionamiento. Esta revisión periódica debe llevarse a cabo en consulta con el tercer país u organización internacional en cuestión y debe tener en cuenta todos los acontecimientos relevantes en el tercer país u organización internacional. A efectos de seguimiento y realización de revisiones periódicas, la Comisión debe tener en cuenta las opiniones y conclusiones del Parlamento Europeo y del Consejo, así como de otros órganos y fuentes pertinentes. La Comisión debería evaluar, en un plazo razonable, el funcionamiento de las decisiones del pasado e informar de todas las conclusiones pertinentes al comité, en el sentido del Reglamento (UE) n. 182/2011 del Parlamento Europeo y del Consejo (1), según lo establecido en el presente Reglamento, del Parlamento Europeo y del Consejo.
(1) Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y principios generales relativos a los mecanismos de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por parte de la Comisión (DO L 55 de 28.2.2011, p. 13 ).
(107) La Comisión puede reconocer el hecho de que un tercer país, un territorio o un sector específico de un tercer país o una organización internacional ya no garantiza un nivel adecuado de protección de datos. En consecuencia, debe prohibirse la transferencia de datos personales al tercer país u organización internacional en cuestión, a menos que los requisitos establecidos en este reglamento en materia de transferencias se cumplan bajo las salvaguardias adecuadas, incluidas normas corporativas obligatorias y excepciones a situaciones específicas. En este caso, deberían preverse consultas entre la Comisión y dichos terceros países u organizaciones internacionales. La Comisión debería informar a su debido tiempo al tercer país o a la organización internacional sobre estos motivos e iniciar consultas con él para remediar la situación.
(108) A falta de una decisión sobre la idoneidad del nivel de protección, el operador o la persona autorizada por el operador debe tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para los datos. sujeto. Dichas salvaguardias adecuadas pueden consistir en el uso de normas corporativas obligatorias, cláusulas tipo de protección de datos adoptadas por la Comisión, cláusulas tipo de protección de datos adoptadas por una autoridad de control o cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben garantizar el cumplimiento de los requisitos de protección de datos y de los derechos de los interesados correspondientes al tratamiento dentro de la Unión, incluida la disponibilidad de derechos de oposición de los interesados y recursos efectivos, incluido el derecho de acceso a una reparación efectiva por vía administrativa o judicial y la derecho a solicitar una compensación, en la Unión o en un tercer país. Estos deberían referirse, en particular, a la observancia de los principios generales relativos al tratamiento de datos personales: el principio de protección de datos desde el momento de la concepción y el principio de protección implícita de datos. Las transferencias también pueden ser realizadas por autoridades u organismos públicos con autoridades u organismos públicos de terceros países o con organizaciones internacionales con poderes y funciones correspondientes, incluso sobre la base de las disposiciones que establecen derechos efectivos y oponibles a las personas interesadas, que deben ser introducidos en los acuerdos administrativos, como un memorando de entendimiento. Cuando se ofrezcan garantías en virtud de acuerdos administrativos no vinculantes jurídicamente, deberá obtenerse la autorización de la autoridad de control competente.
(109) La posibilidad de que el operador o la persona autorizada por el operador utilice cláusulas tipo en materia de protección de datos, adoptadas por la Comisión o una autoridad de control, no debe impedir que los operadores o las personas autorizadas por ellos incluyan las cláusulas estándar cláusulas en la materia
de protección de datos en un contrato más amplio, como un contrato entre la persona autorizada por el operador y otra persona autorizada por el operador, ni añadir otras cláusulas o garantías adicionales, siempre que no contravengan, directa o indirectamente, el contrato cláusulas estándares adoptadas por la Comisión o una autoridad de control o no menoscabe los derechos o libertades fundamentales de las personas interesadas. Se debe alentar a los operadores y a las personas autorizadas por los operadores a ofrecer garantías adicionales a través de compromisos contractuales que complementen las cláusulas de protección estándar.
(110) Un grupo de empresas o un grupo de empresas que participan en una actividad económica común deben poder utilizar las normas corporativas obligatorias aprobadas para sus transferencias internacionales desde la Unión a organizaciones dentro del mismo grupo de empresas o grupo de empresas que participan en una actividad económica común, siempre que dichas normas corporativas incluyan todos los principios esenciales y derechos oponibles a fin de garantizar salvaguardias adecuadas para las transferencias o categorías de transferencias de datos personales.
(111) Debe preverse la posibilidad de realizar transferencias en determinadas circunstancias en las que el interesado haya dado su consentimiento explícito, cuando la transferencia sea ocasional y necesaria en relación con un contrato o una acción legal, independientemente de si se realiza en el en el contexto de un procedimiento judicial o en el contexto de un procedimiento administrativo o extrajudicial, incluso dentro de los procedimientos sometidos a los órganos reguladores. Además, debe preverse la posibilidad de realizar transferencias si así lo exigen razones importantes de interés público establecidas por el Derecho de la Unión o el derecho interno o si la transferencia se realiza a partir de un registro establecido por ley y destinado a ser consultado por el público o por personas que tengan un interés legítimo. En este último caso, dicha transferencia no debe afectar a la totalidad de los datos personales ni a todas las categorías de datos contenidos en el registro, y cuando el registro esté destinado a ser consultado por personas que tengan un interés legítimo, la transferencia debe realizarse sólo a petición de las respectivas personas o si éstas son los destinatarios, teniendo plenamente en cuenta los intereses y derechos fundamentales del interesado.
(112) Estas exenciones deben aplicarse, en particular, a las transferencias de datos solicitadas y necesarias por razones importantes de interés público, por ejemplo en el caso del intercambio internacional de datos entre autoridades de competencia, administraciones tributarias o aduaneras, entre autoridades de control financiero, entre las autoridades competentes servicios en términos de seguridad social o salud pública, por ejemplo en el caso de la detección de puntos de contacto para enfermedades contagiosas o para la reducción y/o eliminación del dopaje en el deporte. Una transferencia de datos personales también debe considerarse lícita si es necesaria para proteger un interés que sea esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida de la misma, en caso de que la persona interesada no tiene la capacidad de dar su consentimiento. A falta de una decisión sobre la adecuación del nivel de protección, el derecho de la Unión o el derecho interno pueden, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país o a una organización internacional. Los Estados miembros deben notificar estas disposiciones a la Comisión. Cualquier transferencia a una organización humanitaria internacional de los datos personales de un interesado que esté física o jurídicamente incapaz de dar su consentimiento, para cumplir una tarea derivada de los Convenios de Ginebra o para cumplir con el derecho internacional humanitario aplicable en conflictos armados, podría considerarse necesaria por una razón importante de interés público o porque redunda en el interés vital del interesado.
(113) Las transferencias que pueden considerarse no repetitivas y que sólo se refieren a un número limitado de interesados, también podrían realizarse para lograr los intereses legítimos perseguidos por el operador, cuando esos intereses no prevalezcan o los derechos y libertades del interesado y cuando el operador haya evaluado todas las circunstancias relacionadas con la transferencia de datos. El operador debe prestar especial atención a la naturaleza de los datos personales, el propósito y la duración de la operación u operaciones de procesamiento propuestas, así como a la situación en el país de origen, el tercer país y el país de destino final, y debe proporcionar información adecuada. garantías para la protección de los derechos y libertades fundamentales de las personas físicas en lo que
respecto del tratamiento de sus datos personales. Estas transferencias sólo deberían ser posibles en casos residuales en los que no pueda aplicarse ninguno de los demás motivos de transferencia. Respecto de los fines de investigación científica o histórica o fines estadísticos, deberán tenerse en cuenta las expectativas legítimas de la sociedad respecto del incremento del nivel de conocimientos. El operador debe informar a la autoridad de control y al interesado sobre la transferencia.
(114) En cualquier caso, cuando la Comisión no haya adoptado una decisión sobre el nivel adecuado de protección de datos en un tercer país, el operador o la persona autorizada por el operador debe utilizar soluciones que ofrezcan a los interesados derechos oponibles y efectivos en materia de protección de datos. tratamiento de sus datos en la Unión una vez transferidos, de modo que los interesados sigan beneficiándose de los derechos y garantías fundamentales.
(115) Algunos terceros países han adoptado leyes, reglamentos y otros actos jurídicos cuyo objetivo es regular directamente las actividades de tratamiento de datos de personas físicas y jurídicas bajo la jurisdicción de los Estados miembros. Esto puede incluir órdenes judiciales o decisiones de autoridades administrativas de terceros países que exijan a un operador o a una persona autorizada por el operador transferir o revelar datos personales y que no se base en un acuerdo internacional, como un tratado de asistencia jurídica mutua, en vigor. entre el tercer país solicitante y la Unión o un Estado miembro. La aplicación extraterritorial de estas leyes, reglamentos y otros actos jurídicos puede violar el derecho internacional y puede impedir la protección de las personas físicas garantizada en la Unión por este reglamento. Las transferencias solo deben permitirse si se cumplen las condiciones estipuladas por este reglamento para una transferencia a terceros países. Este podría ser el caso, entre otras cosas, cuando la divulgación sea necesaria por una razón importante de interés público reconocida en el Derecho de la Unión o en el Derecho interno que se aplica al operador.
(116) El flujo transfronterizo de datos personales fuera de la Unión puede exponer a un mayor riesgo la capacidad de las personas físicas de ejercer sus derechos de protección de datos, en particular para garantizar su protección contra el uso o la divulgación ilegal de esta información. Al mismo tiempo, las autoridades de control pueden encontrarse incapaces de atender quejas o realizar investigaciones sobre las actividades realizadas fuera de sus fronteras. Sus esfuerzos por colaborar en un contexto transfronterizo también pueden verse obstaculizados por la insuficiencia de poderes de prevención o reparación, la naturaleza heterogénea de los regímenes jurídicos y la existencia de obstáculos prácticos, como las limitaciones de recursos. Por tanto, es necesario promover una cooperación más estrecha entre las autoridades de control de la protección de datos para poder intercambiar información y realizar investigaciones junto con sus homólogos internacionales. Con el fin de desarrollar mecanismos de cooperación internacional para facilitar y proporcionar asistencia internacional mutua para garantizar la aplicación de la legislación en el ámbito de la protección de datos personales, la Comisión y las autoridades de control deben intercambiar información y cooperar en actividades relacionadas con el ejercicio de sus competencias con las autoridades competentes. autoridades de terceros países, sobre la base de la reciprocidad y de conformidad con el presente Reglamento.
(117) El establecimiento en los Estados miembros de autoridades de control, facultadas para llevar a cabo sus tareas y ejercer sus poderes con total independencia, es un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. Los Estados miembros deben poder establecer varias autoridades de supervisión, para reflejar su estructura constitucional, organizativa y administrativa.
(118) La independencia de las autoridades de supervisión no debe significar que éstas no puedan estar sujetas a mecanismos de control o seguimiento de sus gastos ni a un control jurisdiccional.
(119) Si un Estado miembro establece varias autoridades de supervisión, debe establecer por ley mecanismos para garantizar la participación efectiva de las respectivas autoridades de supervisión en el mecanismo para garantizar la coherencia. El Estado miembro respectivo debe, en particular, designar la autoridad de control que cumpla la función de punto de contacto único para la participación efectiva de dichas autoridades en el mecanismo, con el fin de garantizar una cooperación rápida y armoniosa con otras autoridades de control, con el comité y con la Comisión .
(120) Cada autoridad de supervisión debe beneficiarse de los recursos financieros y humanos, las instalaciones y la infraestructura necesarios para el desempeño eficaz de sus tareas, incluidas las relacionadas con la asistencia mutua y la cooperación con otras autoridades de supervisión en toda la Unión. Cada autoridad de control debe tener un presupuesto público anual separado, que puede formar parte del presupuesto general del Estado o del presupuesto nacional.
(121) Las condiciones generales para el miembro o los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y deben prever, en particular, que los miembros respectivos sean nombrados mediante un procedimiento transparente, ya sea por el parlamento, el gobierno o el jefe de estado del estado miembro a propuesta del gobierno, de un miembro del gobierno, del parlamento o de una cámara del parlamento, o por un organismo independiente facultado por la legislación nacional. Para garantizar la independencia de la autoridad de control, su miembro o miembros deben actuar con integridad, no realizar acciones incompatibles con sus funciones y, durante el mandato, no deben realizar actividades incompatibles, remuneradas o no. La autoridad de control debería tener su propio personal, elegido por la autoridad de control o por un organismo independiente establecido conforme a la legislación nacional, que debería estar subordinado exclusivamente al miembro o miembros de la autoridad de control.
(122) Cada autoridad de control debe tener, en el territorio del Estado miembro al que pertenece, la atribución de ejercer las competencias y cumplir las tareas que le corresponden de conformidad con el presente Reglamento.
Esto debería incluir, en particular, el tratamiento en el contexto de las actividades de una sede del operador o de la persona autorizada por el operador en el territorio del propio Estado miembro, el tratamiento de datos personales llevado a cabo por autoridades públicas u organismos privados que actúan en el interés público, el tratamiento que afecte a las personas interesadas desde su territorio o el tratamiento realizado por un operador o una persona autorizada por el operador que no tenga su sede en la Unión si se trata de interesados que tengan su residencia en su territorio. Esto debería incluir la gestión de quejas presentadas por un interesado, la realización de investigaciones sobre la aplicación del presente Reglamento y la promoción de información pública sobre los riesgos, normas, garantías y derechos en el ámbito del tratamiento de datos personales.
(123) Las autoridades de control deben controlar la aplicación de las disposiciones del presente Reglamento y contribuir a su aplicación coherente en toda la Unión, con el fin de garantizar la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y facilitar la libre circulación. de datos personales en el mercado interior. En este sentido, las autoridades de supervisión deben cooperar entre sí, así como con la Comisión, sin necesidad de acuerdo alguno entre los Estados miembros sobre la concesión de asistencia mutua o sobre dicha cooperación.
(124) Si el tratamiento de datos personales tiene lugar en el marco de las actividades de una oficina de un operador o de una persona autorizada por el operador en la Unión, y el operador o la persona autorizada por el operador tiene oficinas en varios Estados miembros, o en caso de que en los que el tratamiento que tiene lugar en el contexto de las actividades de una única oficina de un operador o de una persona autorizada por el operador en la Unión afecte o pueda afectar significativamente a interesados de varios Estados miembros, la autoridad de control del principal La oficina del operador o de la persona autorizada por el operador o la sede exclusiva del operador o de la persona autorizada por el operador debe actuar como autoridad principal. Debe cooperar con las demás autoridades interesadas, porque el operador o la persona autorizada por el operador tiene una oficina en el territorio de su Estado miembro, porque las personas interesadas que tienen su residencia en su territorio se ven significativamente afectadas o porque han sido presentadas una queja. Además, si un interesado que no reside en el Estado miembro respectivo ha presentado una reclamación, la autoridad de control ante la que se presentó la reclamación también debe ser una autoridad de control interesada. Como parte de sus tareas de emitir orientaciones sobre cualquier asunto relacionado con la aplicación del presente Reglamento, el comité debe poder emitir orientaciones sobre, en particular, los criterios que deben tenerse en cuenta para determinar si
el tratamiento en cuestión afecta significativamente a interesados de varios Estados miembros y en relación con el contenido de una oposición pertinente y motivada.
(125) La autoridad principal debe tener competencia para adoptar decisiones vinculantes sobre las medidas para aplicar las competencias que le confiere el presente Reglamento. En su calidad de autoridad principal, la autoridad de control debe implicar y coordinar estrechamente las actividades de las autoridades de control interesadas en el proceso de toma de decisiones. En los casos en que la decisión sea un rechazo parcial o total de la reclamación por parte del interesado, dicha decisión deberá ser adoptada por la autoridad de control ante la que se presentó la reclamación. (126) La decisión debe ser acordada conjuntamente por la autoridad de control principal y las autoridades de control interesadas y debe referirse a la oficina principal o a la oficina única del operador o de la persona autorizada por el operador y ser vinculante para el operador y la persona autorizada por el operador. El operador o la persona autorizada por el operador debe tomar las medidas necesarias para garantizar el cumplimiento del presente reglamento y la implementación de la decisión notificada por la principal autoridad de control de la oficina central del operador o la persona autorizada por el operador con respecto a la actividades de transformación en la Unión .
(127) Cada autoridad de control que no actúe como autoridad de control principal debe tener competencia para tratar los casos locales en los que el operador o la persona autorizada por el operador tenga oficinas en varios Estados miembros, pero el objeto del procesamiento respectivo concierne solo el procesamiento llevado a cabo en un solo estado miembro y que involucra solo a interesados de ese único estado miembro, por ejemplo si el objeto es el procesamiento de datos personales de los empleados en el contexto específico relacionado con la fuerza laboral de un estado miembro. En tales casos, la autoridad de control debe informar del asunto sin demora a la autoridad de control principal. Después de ser informada, la autoridad de control principal debe decidir si tratará el caso ella misma conforme a la disposición sobre cooperación entre el supervisor principal y otras autoridades de control interesadas (el "mecanismo de ventanilla única"), o si la autoridad de control que le informó que debería ocuparse del caso a nivel local. Al decidir si se trata el caso, la autoridad de control principal debe tener en cuenta si existe un establecimiento del operador o de la persona autorizada por el operador en el Estado miembro de la autoridad de control notificante, a fin de garantizar el cumplimiento efectivo de una decisiones relativas al operador o a la persona autorizada por el operador. Si la autoridad de control principal decide ocuparse del caso, la autoridad de control que le informó debería tener la posibilidad de presentar un proyecto de decisión, que la autoridad de control principal debería tener en cuenta en la medida de lo posible la medida cuando prepare su proyecto de decisión. dentro del respectivo mecanismo de ventanilla única.
(128) Las normas relativas a la principal autoridad de control y al mecanismo de ventanilla única no deben aplicarse si el tratamiento lo llevan a cabo autoridades públicas u organismos privados en aras del interés público. En tales casos, la única autoridad de control competente para ejercer las competencias que le asigna el presente Reglamento debe ser la autoridad de control del Estado miembro en el que la autoridad pública o el organismo privado tenga su sede.
(129) Para garantizar la coherencia del seguimiento y la aplicación del presente Reglamento en toda la Unión, las autoridades de supervisión deben tener las mismas tareas y poderes efectivos en cada Estado miembro, incluidos poderes de investigación, poderes correctivos y sanciones, así como poderes de autorización. facultades y asesoramiento, especialmente cuando se trate de denuncias presentadas por personas naturales, así como, sin perjuicio de las facultades de las autoridades de persecución penal con base en el derecho interno, poner en conocimiento de las autoridades judiciales los casos de violación de esta norma. e involucrarse en procedimientos judiciales. Estas facultades también deben incluir la facultad de imponer una limitación temporal o definitiva, incluida una prohibición, al tratamiento. Los Estados miembros podrán establecer otras obligaciones relacionadas con la protección de datos personales en virtud del presente Reglamento. Las competencias de las autoridades de control deben ejercerse de conformidad con las garantías procesales adecuadas previstas en el Derecho interno y de la Unión, de forma imparcial, justa y en un plazo razonable. En particular, cada medida debe ser adecuada, necesaria y proporcionada para
velar por el cumplimiento de lo dispuesto en el presente reglamento, teniendo en cuenta las circunstancias de cada caso individual, respetar el derecho de toda persona a ser oída antes de adoptar cualquier medida individual que pueda afectarla y evitar costes innecesarios y molestias excesivas a las personas en pregunta . Las facultades de investigación relativas al acceso a los locales deben ejercerse de conformidad con los requisitos específicos del derecho procesal nacional, como la obligación de obtener autorización judicial previa. Cada medida jurídicamente vinculante adoptada por la autoridad de control debe presentarse por escrito, ser clara e inequívoca, indicar la autoridad de control que emitió la medida, la fecha de emisión de la medida, llevar la firma del director o de un miembro autorizado de la autoridad de control. por él, exponer los motivos por los que se adoptó la medida y hacer referencia al derecho a un recurso efectivo. Esto no debería excluir requisitos adicionales conforme al derecho procesal nacional. La adopción de tales decisiones jurídicamente vinculantes implica que puede surgir un control jurisdiccional en el Estado miembro de la autoridad de control que adoptó la decisión.
(130) Si la autoridad de control ante la que se presentó la reclamación no es la autoridad de control principal, la autoridad de control principal debe cooperar estrechamente con la autoridad de control ante la que se presentó la reclamación, de conformidad con las disposiciones sobre cooperación y coherencia previstas en el presente regulación. En tales casos, la autoridad de control principal debería, al adoptar medidas destinadas a producir efectos jurídicos, incluida la imposición de multas administrativas, tener en cuenta en la medida de lo posible la opinión de la autoridad de control ante la cual se presentó la reclamación y que debería mantener su competencia para llevar a cabo cualquier investigación en el territorio de su propio Estado miembro, en colaboración con la principal autoridad de control.
(131) En los casos en que otra autoridad de control deba actuar como autoridad de control principal para las actividades de procesamiento del operador o la persona autorizada por el operador, pero el objeto concreto de una queja o la posible infracción se refiere únicamente a las actividades de procesamiento del operador. o la persona autorizada por el operador en el Estado miembro donde se presentó la denuncia o se detectó la posible infracción, y el asunto no afecta sustancialmente o no es probable que afecte sustancialmente a las personas interesadas de otros Estados miembros, la autoridad de control que recibió una denuncia o haya detectado o haya sido informado de otro modo sobre situaciones de posibles infracciones de este reglamento deberá tratar de encontrar una solución amistosa con el operador y, en caso de fracasar, ejercer todas las facultades. Esto debe incluir actividades de procesamiento específicas llevadas a cabo en el territorio del Estado miembro de la autoridad de control o con respecto a interesados del territorio de ese Estado miembro, actividades de procesamiento que tengan lugar en el contexto de una oferta de bienes o servicios específicamente destinados. para personas dirigidas en el territorio del Estado miembro de la autoridad de control o actividades de procesamiento que deben evaluarse teniendo en cuenta las obligaciones legales pertinentes en virtud del derecho interno.
(132) Las actividades de sensibilización organizadas para el público por las autoridades de control deben incluir medidas específicas dirigidas a los operadores y a las personas autorizadas por los operadores, incluidas las micro, pequeñas y medianas empresas, así como a las personas físicas, en particular en el contexto educativo.
(133) Las autoridades de supervisión deben ayudarse mutuamente en el desempeño de sus funciones, con el fin de garantizar la coherencia de la aplicación del presente Reglamento en el mercado interior. Una autoridad de control que solicite asistencia mutua podrá adoptar una medida provisional si no recibe respuesta a una solicitud de asistencia mutua en el plazo de un mes a partir de la recepción de la solicitud por parte de la otra autoridad de control.
(134) Cada autoridad de control debe participar, según proceda, en operaciones conjuntas entre autoridades de control. La autoridad de control a la que se dirigió la solicitud debe tener la obligación de responder a la solicitud en un plazo determinado.
(135) Para garantizar la aplicación coherente del presente Reglamento en toda la Unión, debe establecerse un mecanismo para garantizar la coherencia dentro del cual las autoridades de supervisión
cooperar. Este mecanismo debería aplicarse, en particular, si una autoridad de control pretende adoptar una medida destinada a producir efectos jurídicos con respecto a operaciones de procesamiento que afecten sustancialmente a un número significativo de interesados de más de un Estado miembro. El mecanismo también debe aplicarse si una autoridad de control interesada o la Comisión solicita que el aspecto respectivo se trate dentro del mecanismo de coherencia. Este mecanismo no debería afectar las medidas que la Comisión puede adoptar en el ejercicio de sus poderes bajo los tratados.
(136) Al aplicar el mecanismo de coherencia, el comité debe emitir, dentro de un plazo determinado, un dictamen si así lo decide la mayoría de sus miembros o si así lo solicita cualquier autoridad de control interesada o la Comisión. El comité también debería estar facultado para adoptar decisiones jurídicamente vinculantes en caso de disputas entre autoridades de supervisión. A tal efecto, debería adoptar, en principio con una mayoría de dos tercios de sus miembros, decisiones jurídicamente vinculantes, en casos bien definidos, si existen opiniones divergentes entre las autoridades de control, especialmente en el marco del mecanismo de cooperación entre a la principal autoridad de control y a las autoridades de control interesadas sobre el fondo del asunto, en particular la existencia o no de una infracción del presente reglamento. (137) Es posible que sea urgente actuar para garantizar la protección de los derechos y libertades de las personas interesadas, especialmente si existe el peligro de que el ejercicio de un derecho de una persona interesada se vea considerablemente obstaculizado. Por lo tanto, una autoridad de control debe poder adoptar medidas provisionales en su territorio, debidamente justificadas, teniendo un período de validez determinado que no debe exceder los tres meses.
(138) La aplicación de tal mecanismo debe constituir una condición para la legalidad de una medida destinada a producir efectos jurídicos, adoptada por una autoridad de control, en los casos en que su aplicación sea obligatoria. En otros casos con relevancia transfronteriza, se debe establecer el mecanismo de cooperación entre la autoridad supervisora principal y las autoridades supervisoras objetivo, y las autoridades supervisoras objetivo podrían brindarse asistencia mutua y realizar operaciones conjuntas de forma bilateral o multilateral. activar el mecanismo para garantizar la coherencia.
(139) Para promover la aplicación coherente del presente Reglamento, el comité debe constituirse como un organismo independiente de la Unión. Para cumplir sus objetivos, el comité debe tener personalidad jurídica. El comité deberá estar representado por su presidente. Debería sustituir al Grupo de Trabajo para la protección de las personas en lo que respecta al tratamiento de datos personales, establecido por la Directiva 95/46/CE. Debería estar compuesto por los jefes de las autoridades de control de cada Estado miembro y la Autoridad Europea de Protección de Datos o sus representantes. La Comisión debería participar en las actividades del comité sin derecho de voto, y la Autoridad Europea de Protección de Datos debería tener derechos de voto especiales. El Comité debe contribuir a la aplicación coherente del presente Reglamento en toda la Unión, incluso asesorando a la Comisión, especialmente en lo que respecta al nivel de protección en terceros países y dentro de las organizaciones internacionales, y promoviendo la cooperación de las autoridades de supervisión en toda la Unión. El comité debe actuar de forma independiente en el desempeño de sus funciones. (140) El comité debe estar asistido por una secretaría proporcionada por la Autoridad Europea de Protección de Datos. El personal de la Autoridad Europea de Protección de Datos que participe en el desempeño de las tareas asignadas al comité en virtud del presente Reglamento deberá realizar sus tareas exclusivamente según las instrucciones del presidente del comité y rendir cuentas a él.
(141) Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro en el que tenga su residencia habitual, así como derecho a un recurso efectivo de conformidad con el artículo 47 de la Carta. si el interesado considera que se han vulnerado sus derechos conforme a este reglamento o si la autoridad de control no reacciona a una queja, rechaza o rechaza una queja total o parcialmente o no actúa cuando tal acción es necesaria para garantizar la protección de los derechos del interesado. La investigación tras una denuncia debe llevarse a cabo, bajo control judicial, en la medida necesaria, según el caso. La autoridad de control debe informar
al interesado sobre la evolución y resolución de la reclamación en un plazo razonable. En caso de que el caso requiera mayor investigación o coordinación con otra autoridad de control, se deberá proporcionar información intermedia al interesado. Para facilitar la presentación de quejas, cada autoridad de control debe tomar medidas como poner a disposición un formulario de presentación de quejas, que también puede completarse en formato electrónico, sin excluir otros medios de comunicación.
(142) Si el interesado considera que se han vulnerado sus derechos en virtud del presente Reglamento, debería tener derecho a nombrar un organismo, organización o asociación sin fines de lucro establecida de conformidad con la legislación interna, cuyos (cuyos) objetivos estatutarios sean en interés público y que lleva a cabo su actividad en el ámbito de garantizar la protección de datos personales, a presentar una reclamación en su nombre ante una autoridad de control, a ejercer el derecho de recurso en su nombre ante las personas interesadas o, en en el caso previsto en el derecho interno, ejercer el derecho a recibir una indemnización en nombre de las personas interesadas. Un Estado miembro podrá disponer que dicho organismo, organización o asociación tendrá derecho a presentar una denuncia en ese Estado miembro, independientemente del mandato otorgado por el interesado, y tendrá derecho a un recurso efectivo si tiene motivos para considerarlo. que los derechos de un interesado han sido vulnerados como consecuencia de un tratamiento de datos personales que infringe esta normativa. El organismo, organización o asociación en cuestión no puede reclamar una compensación en nombre de un interesado, independientemente del mandato otorgado por el interesado. (143) Cualquier persona física o jurídica tiene derecho a interponer un recurso de anulación contra las decisiones del comité ante el Tribunal de Justicia, de conformidad con las condiciones previstas en el artículo 263 del TFUE. Como destinatarios de estas decisiones, las autoridades de control interesadas que deseen impugnarlas deberán interponer un recurso contra las respectivas decisiones en el plazo de dos meses a partir de la fecha de su notificación, de conformidad con el artículo 263 del TFUE. Si las decisiones del comité se dirigen directa e individualmente a un operador, a una persona autorizada por el operador o al denunciante, este último puede interponer una acción de anulación de las respectivas decisiones dentro de los dos meses siguientes a su publicación en el sitio web del comité, de conformidad con el artículo 263 de el TFUE. Sin perjuicio de este derecho previsto en el artículo 263 del TFUE, cualquier persona física o jurídica debe tener derecho a un recurso judicial efectivo ante el tribunal nacional competente contra una decisión de una autoridad de control que produzca efectos jurídicos para esa persona. Tal decisión se refiere, en particular, al ejercicio de las facultades de investigación, corrección y autorización por parte de la autoridad de control o a la denegación o rechazo de denuncias. Sin embargo, el derecho a un recurso judicial efectivo no incluye medidas de las autoridades de control que no sean jurídicamente vinculantes, como las opiniones emitidas por la autoridad de control o el asesoramiento proporcionado por esta. Las acciones contra una autoridad de control deben interponerse ante los tribunales del Estado miembro en el que esté establecida la autoridad de control y deben tramitarse de conformidad con el Derecho procesal de ese Estado miembro. Estos tribunales deberían ejercer su plena jurisdicción judicial, que debería incluir la facultad de examinar todas las cuestiones de hecho o de derecho pertinentes a la controversia que se les plantea.
Si una reclamación ha sido rechazada o rechazada por una autoridad de control, el reclamante puede interponer una acción ante los tribunales del mismo Estado miembro. En el marco de los recursos judiciales relativos a la aplicación del presente Reglamento, los órganos jurisdiccionales nacionales que consideren necesaria una resolución sobre el asunto de que se trate para permitirles adoptar una decisión podrán o, en el caso previsto en el artículo 267 del TFUE, deberán solicitar al Tribunal de Justicia emitir una decisión preliminar sobre la interpretación del Derecho de la Unión, incluido el presente Reglamento. Además, si una decisión de una autoridad de control que aplica una decisión del comité es impugnada ante un tribunal nacional y la validez de la decisión del comité está en duda, ese tribunal nacional no está facultado para declarar nula y sin valor la decisión del comité, pero debe plantear la cuestión de validez ante el Tribunal de Justicia, de conformidad con el artículo 267 del TFUE, tal como lo interpreta el Tribunal de Justicia, siempre que el tribunal nacional considere la decisión nula y sin efecto. Sin embargo, un tribunal nacional no puede plantear una cuestión relativa a la validez de la decisión del comité a petición de una persona
personas físicas o jurídicas que tuvieron la posibilidad de interponer un recurso de anulación contra dicha decisión, especialmente si estaba directa e individualmente afectada por la decisión en cuestión, pero no lo hicieron dentro del plazo previsto en el artículo 263 del TFUE.
(144) Cuando un tribunal que conoce de un procedimiento contra una decisión de una autoridad de control tiene motivos para creer que se ha interpuesto un procedimiento ante un tribunal competente de otro Estado miembro en relación con el mismo tratamiento, como el mismo objeto de tratamiento, por el mismo operador o la misma persona autorizada por el operador, o la misma causa, el tribunal respectivo deberá comunicarse con el segundo tribunal para confirmar la existencia de dichos procedimientos relacionados. Si estos procedimientos conexos estuvieran pendientes ante un tribunal de otro Estado miembro, cualquier tribunal, excepto el inicialmente mencionado, podrá suspender sus procedimientos o, a petición de una de las partes, inhibirse en favor del tribunal inicialmente referido, siempre que que este último tiene competencia para resolver los procedimientos en cuestión y que la ley que se le aplica le permite consolidar estos procedimientos conexos. Se consideran procesos conexos cuando están tan estrechamente relacionados entre sí que resulta oportuno ejecutarlos y juzgarlos al mismo tiempo para evitar el riesgo de pronunciar decisiones irreconciliables en el caso de juzgarlos por separado.
(145) Por lo que respecta a las acciones iniciadas contra un operador o una persona autorizada por el operador, el demandante debe tener la posibilidad de interponer la acción ante los tribunales de los Estados miembros donde el operador o la persona autorizada por el operador tenga una sede o en el que tenga su residencia la persona en cuestión, salvo que el operador sea una autoridad pública de un Estado miembro que actúe en el ejercicio de sus poderes públicos.
(146) El operador o la persona autorizada por el operador debe pagar una indemnización por cualquier daño que una persona pueda sufrir como resultado de un procesamiento que viole el presente Reglamento. El operador o la persona autorizada por el operador debe quedar exento de responsabilidad si demuestra que no es en modo alguno responsable del daño. El concepto de daño debe interpretarse en un sentido amplio, desde la perspectiva de la jurisprudencia del Tribunal de Justicia, de manera que refleje plenamente los objetivos del presente Reglamento. Esta disposición no afecta a ninguna reclamación de indemnización resultante de la violación de otras normas del derecho de la Unión o del derecho interno. Un procesamiento que viole este reglamento también incluye el procesamiento que viole los actos delegados y de ejecución adoptados de conformidad con este reglamento y la ley interna que especifica las reglas de este reglamento. Las personas afectadas deben recibir una indemnización plena y efectiva por el daño que han sufrido. Si los operadores o las personas autorizadas por los operadores participan en el mismo procesamiento, cada operador o cada persona autorizada por el operador debe considerarse responsable de la totalidad del daño. Sin embargo, cuando los procedimientos legales que les conciernen estén conectados, de conformidad con la legislación interna, la compensación podrá distribuirse según la responsabilidad de cada operador o de cada persona autorizada por el operador, siempre que se garantice la compensación total y efectiva del interesado. Aseguró quiénes sufrieron el daño. Cualquier operador o persona autorizada por el operador que haya pagado la indemnización íntegra podrá posteriormente interponer acción de recurso contra otros operadores o personas autorizadas por los operadores que intervengan en el mismo tratamiento.
(147) En caso de que el presente Reglamento contenga normas específicas sobre competencia judicial, especialmente en lo que respecta a los recursos judiciales, incluidas las acciones por daños y perjuicios, contra un operador o una persona autorizada por el operador, se aplicarán las normas generales sobre competencia judicial como las del Reglamento (UE ) No. 1215/2012 del Parlamento Europeo y del Consejo (1) no debe afectar a la aplicación de dichas normas específicas.
(1) Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, sobre competencia judicial, reconocimiento y ejecución de decisiones en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).
(148) Para reforzar el cumplimiento de la aplicación de las normas previstas en el presente Reglamento, deben imponerse sanciones, incluidas multas administrativas, por cualquier infracción del mismo, además de o en lugar de las medidas apropiadas impuestas por la autoridad de control en virtud de este reglamento. En caso de infracción leve o en el caso de que la multa que probablemente se imponga
constituye una carga desproporcionada para una persona física, se puede emitir una advertencia en lugar de una multa. Sin embargo, se debe dar la debida consideración a la naturaleza, gravedad y duración del incumplimiento, la naturaleza intencional del incumplimiento, las acciones tomadas para mitigar el daño causado, el grado de responsabilidad o cualquier incumplimiento anterior relevante, la manera en que el incumplimiento haya tenido conocimiento de la autoridad de control, el cumplimiento de las medidas adoptadas contra el operador o la persona autorizada por éste, la adhesión a un código de conducta y cualquier otro agravante o atenuante. La imposición de sanciones, incluidas multas administrativas, debe estar sujeta a garantías procesales adecuadas, de conformidad con los principios generales del Derecho de la Unión y la Carta, incluida la tutela judicial efectiva y un juicio justo.
(149) Los Estados miembros deben poder establecer normas sobre sanciones penales por infracciones del presente Reglamento, incluidas las infracciones del Derecho interno adoptadas sobre la base del mismo y dentro de sus límites. Las sanciones penales respectivas podrán permitir también la privación de las ganancias obtenidas con la infracción de esta norma. Sin embargo, la imposición de sanciones penales por violaciones de dichas normas de derecho interno y sanciones administrativas no debería conducir a la violación del principio ne bis in idem, tal como lo interpreta el Tribunal de Justicia.
(150) Para consolidar y armonizar las sanciones administrativas en caso de infracción del presente Reglamento, cada autoridad de control debe tener competencia para imponer multas administrativas. Este reglamento debe indicar las infracciones, así como el límite máximo y los criterios para establecer las correspondientes multas administrativas, que deben ser establecidos por la autoridad de control competente en cada caso individual, teniendo en cuenta todas las circunstancias relevantes de la situación específica, teniendo en cuenta la debida consideración, en particular, de la naturaleza, gravedad y duración del incumplimiento, así como de sus consecuencias y de las medidas adoptadas para garantizar el cumplimiento de las obligaciones derivadas del presente Reglamento y para prevenir o mitigar las consecuencias del incumplimiento. Cuando se imponen multas administrativas a una empresa, ésta debe entenderse como empresa de conformidad con los artículos 101 y 102 del TFUE a estos efectos. Si se imponen multas administrativas a personas que no son empresas, la autoridad de control debe tener en cuenta el nivel general de ingresos del Estado miembro respectivo, así como la situación económica de la persona al estimar el importe adecuado de la multa. El mecanismo de coherencia también puede utilizarse para promover la aplicación coherente de multas administrativas. La competencia para determinar si las autoridades públicas deberían estar sujetas a multas administrativas y en qué medida debería recaer en los Estados miembros. La imposición de una multa administrativa o el envío de una advertencia no afecta la aplicación de otras facultades de las autoridades de control ni otras sanciones previstas en este reglamento. (151) Los ordenamientos jurídicos de Dinamarca y Estonia no permiten multas administrativas según lo dispuesto en el presente Reglamento. Las normas sobre multas administrativas pueden aplicarse de modo que, en Dinamarca, la multa sea impuesta por los tribunales nacionales competentes como sanción penal, y en Estonia la multa sea impuesta por la autoridad supervisora en un procedimiento de responsabilidad extracontractual, siempre que dicha aplicación de la normas en los respectivos Estados miembros tengan un efecto equivalente al de las multas administrativas impuestas por las autoridades de control. Por tanto, los tribunales nacionales competentes deben tener en cuenta la recomendación de la autoridad de control que impuso la multa. En cualquier caso, las multas impuestas deben ser efectivas, proporcionadas y disuasorias. (152) Cuando el presente Reglamento no armonice las sanciones administrativas o, en otros casos, cuando sea necesario, por ejemplo en caso de infracciones graves del presente Reglamento, los Estados miembros deben aplicar un sistema que prevea sanciones efectivas, proporcionadas y disuasorias. La naturaleza de dichas sanciones, ya sean penales o administrativas, deberá determinarse por el derecho interno.
(153) La legislación de los Estados miembros debe establecer un equilibrio entre las normas que rigen la libertad de expresión y de información, incluidas las expresiones periodísticas, académicas, artísticas y/o literarias, y el derecho a la protección de datos personales en virtud del presente Reglamento. El tratamiento de datos personales exclusivamente con fines periodísticos o con fines de expresión académica, artística o literaria debe estar sujeto a exenciones o excepciones de
determinadas disposiciones de este reglamento en caso de que sea necesario establecer un equilibrio entre el derecho a la protección de datos personales y el derecho a la libertad de expresión e información, según lo dispuesto en el artículo 11 de la carta. Esto debería aplicarse especialmente al tratamiento de datos personales en el ámbito audiovisual, así como en hemerotecas y hemerotecas. Por lo tanto, los Estados miembros deberían adoptar medidas legislativas para prever las excepciones y derogaciones necesarias con el fin de garantizar el equilibrio entre estos derechos fundamentales. Los Estados miembros deben adoptar dichas excepciones y derogaciones con respecto a los principios generales, los derechos de los interesados, el operador y la persona autorizada por el operador, la transferencia de datos personales a terceros países u organizaciones internacionales, las autoridades de control independientes, la cooperación y la coherencia. , así como respecto de situaciones específicas del tratamiento de datos. Si estas excepciones o exenciones difieren de un estado miembro a otro, se debe aplicar la ley del estado miembro bajo el cual se encuentra el operador. Para tener en cuenta la importancia del derecho a la libertad de expresión en toda sociedad democrática, es necesario que nociones relacionadas con esta libertad, como el periodismo, se interpreten en un sentido amplio.
(154) Este Reglamento permite tener en cuenta el principio de acceso público a los documentos oficiales en su aplicación. El acceso público a los documentos oficiales puede considerarse de interés público. Los datos personales contenidos en documentos en posesión de una autoridad pública o de un organismo público deben poder ser revelados por dicha autoridad u organismo público si así lo prevé el Derecho de la Unión o el derecho interno al que se rige la autoridad pública o el organismo público. El Derecho de la Unión y el Derecho nacional deben garantizar un equilibrio entre el acceso público a los documentos oficiales y la reutilización de la información del sector público, por un lado, y el derecho a la protección de los datos personales, por el otro, y podrían, por tanto, proporcionar las medidas necesarias equilibrio con el derecho a la protección de datos personales previsto en este reglamento. La referencia a autoridades y organismos públicos debería, en este contexto, incluir a todas las autoridades u otros organismos regulados por la legislación nacional en materia de acceso público a los documentos. La Directiva 2003/98/CE del Parlamento Europeo y del Consejo (1) deja intacto y no afecta en modo alguno al nivel de protección de las personas físicas en lo que respecta al tratamiento de datos personales de conformidad con el Derecho interno y de la Unión y, en particular, no modifica los derechos y obligaciones previstos en este reglamento. En particular, la directiva antes mencionada no se aplica a los documentos cuyo acceso está excluido o restringido en virtud de regímenes de acceso por motivos relacionados con la protección de datos personales, ni a partes de documentos accesibles en virtud de dichos regímenes que contienen datos personales cuya reutilización haya sido establecida. por ley por ser incompatible con la legislación en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales.
(1) Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, sobre la reutilización de la información del sector público (DO L 345 de 31.12.2003, p. 90).
(155) El derecho interno o los convenios colectivos, incluidos los "convenios laborales", pueden establecer normas específicas para regular el tratamiento de los datos personales de los empleados en el contexto del empleo, especialmente las condiciones en las que los datos personales en el contexto del empleo en un lugar de trabajo pueden ser procesados con el consentimiento del empleado, con fines de contratación, cumplimiento de los términos del contrato de trabajo, incluido el cumplimiento de las obligaciones establecidas por la ley o los convenios colectivos, la gestión, planificar y organizar el trabajo, la igualdad y la diversidad en el lugar de trabajo, garantizar la salud y la seguridad en el trabajo, así como con el fin de ejercer y beneficiarse, individual o colectivamente, de los derechos y beneficios relacionados con el empleo, así como con el fin de de poner fin a las relaciones laborales.
(156) El tratamiento de datos personales con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos debe estar sujeto a garantías adecuadas para los derechos y libertades de la persona interesada en virtud del presente Reglamento. Las respectivas garantías deberán garantizar que se han establecido las medidas técnicas y organizativas necesarias para garantizar, en particular, el principio de minimización de datos. El procesamiento posterior de datos personales con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos se lleva a cabo cuando el operador ha evaluado la viabilidad de cumplir
estos objetivos mediante el tratamiento de datos personales que no permiten o ya no permiten la identificación de las personas interesadas, siempre que existan garantías adecuadas (como la seudonimización de los datos personales). Los Estados miembros deben ofrecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos. Los Estados miembros deben estar autorizados a proporcionar, en determinadas condiciones y sujeto a garantías adecuadas para los interesados, aclaraciones y exenciones en relación con las solicitudes de información y el derecho de rectificación, el derecho de supresión, el derecho al olvido y el derecho a la limitación del tratamiento. , el derecho a la portabilidad de los datos, así como el derecho de oposición en el caso del tratamiento de datos personales con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos. Las condiciones y garantías en cuestión podrán generar procedimientos específicos para que los interesados ejerzan sus respectivos derechos si así resulta adecuado en el contexto de las finalidades perseguidas por el tratamiento específico, así como medidas técnicas y organizativas encaminadas a minimizar el tratamiento de datos personales. , de conformidad con los principios de proporcionalidad y necesidad. El tratamiento de datos personales con fines científicos también debe cumplir otras leyes pertinentes, como las relativas a ensayos clínicos.
(157) Al combinar información de los registros, los investigadores pueden obtener nuevos conocimientos valiosos sobre enfermedades generalizadas como las enfermedades cardiovasculares, el cáncer y la depresión. A partir de registros se pueden fortalecer los resultados de las investigaciones, ya que se basan en una población más amplia. En las ciencias sociales, la investigación basada en registros permite a los investigadores obtener información esencial sobre la correlación a largo plazo de una variedad de condiciones sociales, como el desempleo o la educación, con otras condiciones de vida. Los resultados de la investigación obtenidos a partir de registros proporcionan conocimientos sólidos y de alta calidad, que pueden constituir la base para el desarrollo y la implementación de políticas basadas en el conocimiento y que pueden mejorar la calidad de vida de varias personas, la eficiencia de las políticas sociales servicios. Con el fin de facilitar la investigación científica, los datos personales podrán ser tratados con fines de investigación científica, con sujeción a las condiciones y garantías correspondientes establecidas en el derecho de la Unión o en el derecho interno.
(158) Si los datos personales se tratan con fines de archivo, el presente Reglamento también debe aplicarse a ese tratamiento, teniendo en cuenta que el presente Reglamento no debe aplicarse a las personas fallecidas. Las autoridades públicas o los organismos públicos o privados que posean registros de interés público deben, en virtud del Derecho de la Unión o del Derecho nacional, tener la obligación legal de adquirir, conservar, evaluar, preparar, describir, comunicar, promover, difundir y garantizar el acceso a registros de valor duradero. de interés público general. Los Estados miembros también deberían poder prever un procesamiento posterior de datos personales con fines de archivo, por ejemplo para proporcionar información específica sobre el comportamiento político durante antiguos regímenes estatales totalitarios, genocidios, crímenes contra la humanidad, especialmente el Holocausto, o crímenes de guerra.
(159) Si los datos personales se tratan con fines de investigación científica, el presente Reglamento también debe aplicarse a ese tratamiento. A los efectos del presente reglamento, el tratamiento de datos personales con fines de investigación científica debe interpretarse en un sentido amplio, incluyendo, por ejemplo, actividades de demostración y desarrollo tecnológico, investigación fundamental, investigación aplicada e investigación financiada con fuentes privadas. Además, debe tenerse en cuenta el objetivo de la Unión de crear un Espacio Europeo de Investigación, tal como se menciona en el artículo 179, apartado 1, del TFUE. Los objetivos de la investigación científica deben incluir también los estudios realizados en interés público en el ámbito de la salud pública. Para cumplir las características específicas del procesamiento de datos personales con fines de investigación científica, deben aplicarse condiciones específicas, en particular con respecto a la publicación o divulgación de otra forma de datos personales en el contexto de los fines de la investigación científica. Si el resultado de una investigación científica, especialmente en el contexto sanitario, constituye un motivo para tomar medidas adicionales en interés del interesado, las normas generales del presente Reglamento deberán aplicarse teniendo en cuenta estas medidas.
(160) Si los datos personales se tratan con fines de investigación histórica, el presente Reglamento también debe aplicarse a ese tratamiento. Esto debería incluir también las investigaciones históricas y las investigaciones con fines genealógicos, teniendo en cuenta que esta norma no debería aplicarse a las personas fallecidas.
(161) Para otorgar el consentimiento para participar en actividades de investigación científica dentro de ensayos clínicos, se aplican las disposiciones pertinentes del Reglamento (UE) n. 536/2014 del Parlamento Europeo y del Consejo (1).
(1) Reglamento (UE) n. 536/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre ensayos clínicos intervencionistas con medicamentos de uso humano y por la que se deroga la Directiva 2001/20/CE (DO L 158 de 27.5.2014, p. 1).
(162) Si los datos personales se tratan con fines estadísticos, el presente Reglamento debe aplicarse a dicho tratamiento. El Derecho de la Unión o el Derecho nacional deben, dentro de los límites del presente Reglamento, determinar el contenido estadístico, el control de acceso, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para proteger los derechos y libertades de los interesados y garantizar la confidencialidad. de datos estadísticos. Estos resultados estadísticos se pueden utilizar posteriormente para diferentes fines, incluidos fines de investigación científica. Fines estadísticos significa cualquier operación de recopilación y procesamiento de datos personales necesarios para estudios estadísticos o para la producción de resultados estadísticos. Los fines estadísticos suponen que el resultado del procesamiento con fines estadísticos no constituye datos personales, sino datos agregados y que este resultado o datos personales no se utilizan para respaldar medidas o decisiones relativas a una determinada persona física.
(163) Debe protegerse la información confidencial que las autoridades estadísticas a nivel nacional y de la Unión recopilan para elaborar estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben diseñarse, producirse y difundirse de conformidad con los principios estadísticos establecidos en el artículo 338, apartado 2, del TFUE, mientras que las estadísticas nacionales también deben ajustarse a la legislación nacional. Reglamento (CE) nº. 223/2009 del Parlamento Europeo y del Consejo (2) proporciona especificaciones adicionales sobre la confidencialidad de los datos estadísticos para las estadísticas europeas.
(2) Reglamento (CE) n.º 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, sobre estadísticas europeas y por el que se deroga el Reglamento (CE, Euratom) n. 1101/2008 del Parlamento Europeo y del Consejo sobre la transmisión de datos estadísticos confidenciales a la Oficina Estadística de las Comunidades Europeas, del Reglamento (CE) núm. 322/97 del Consejo sobre estadísticas comunitarias y Decisión 89/382/CEE, Euratom del Consejo por la que se crea el Comité de programas estadísticos de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).
(164) En cuanto a las competencias de las autoridades de control para obtener del operador o de la persona autorizada por el operador el acceso a datos personales y a sus edificios, los Estados miembros pueden adoptar, mediante legislación y dentro de los límites establecidos por el presente Reglamento, normas específicas para la protección del secreto profesional u otras obligaciones equivalentes, en la medida en que sea necesario para garantizar un equilibrio entre el derecho a la protección de datos personales y la obligación de preservar el secreto profesional. Esto no afecta a las obligaciones existentes de los Estados miembros de adoptar normas relativas al secreto profesional en las situaciones exigidas por el Derecho de la Unión.
(165) Este Reglamento respeta y no afecta al estatus que disfrutan, sobre la base del derecho constitucional vigente, las iglesias y asociaciones o comunidades religiosas en los Estados miembros, tal como se reconoce en el artículo 17 del TFUE.
(166) Para cumplir los objetivos del presente Reglamento, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos personales, y garantizar la libre circulación de datos personales en el territorio de la Unión, deben delegarse en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del TFUE. En particular, deben adoptarse actos delegados en relación con los criterios y requisitos de los mecanismos de certificación, la información que debe presentarse mediante pictogramas normalizados y los procedimientos para proporcionar dichos pictogramas. Es particularmente importante que, dentro de
sus actividades preparatorias, la Comisión organizará las consultas adecuadas, también a nivel de expertos. Al preparar y redactar actos delegados, la Comisión debe garantizar la transmisión simultánea, oportuna y adecuada de los documentos pertinentes al Parlamento Europeo y al Consejo.
(167) Con el fin de garantizar condiciones uniformes para la aplicación del presente Reglamento, la Comisión debe estar dotada de poderes de ejecución en las situaciones establecidas por el mismo. Las respectivas competencias deben ejercerse de conformidad con el Reglamento (UE) n. 182/2011. En este contexto, la Comisión debería considerar medidas específicas para las microempresas y las pequeñas y medianas empresas.
(168) El procedimiento de examen debe utilizarse para la adopción de actos de ejecución relativos a: cláusulas contractuales tipo entre operadores y personas autorizadas por los operadores, así como entre personas autorizadas por los operadores; códigos de conducta; normas técnicas y mecanismos de certificación; el nivel adecuado de protección ofrecido por un tercer país, un territorio o un determinado sector de procesamiento en ese tercer país, o por una organización internacional; cláusulas estándar de protección de datos; formatos y procedimientos para el intercambio electrónico de información entre operadores, personas autorizadas por los operadores y autoridades de supervisión por normas corporativas obligatorias; asistencia mutua; así como las modalidades para el intercambio electrónico de información entre las autoridades de control, así como entre las autoridades de control y el comité.
(169) La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando las pruebas disponibles demuestren que un tercer país, un territorio o un determinado sector de transformación en ese tercer país, o una organización internacional, no garantiza un nivel adecuado de protección, así como para razones imperiosas de urgencia.
(170) Dado que el objetivo del presente Reglamento, a saber, garantizar un nivel equivalente de protección de las personas físicas y la libre circulación de datos personales en toda la Unión, no puede ser alcanzado satisfactoriamente por los Estados miembros, pero, considerando el alcance o los efectos de la acción, sí puede lograrse mejor a nivel de la Unión, puede adoptar medidas de conformidad con el principio de subsidiariedad, tal como se define en el artículo 5 del Tratado de la Unión Europea ("Tratado de la UE"). De conformidad con el principio de proporcionalidad, tal como se define en el artículo respectivo, esta norma no va más allá de lo necesario para alcanzar los objetivos señalados.
(171) El presente Reglamento debe derogar la Directiva 95/46/CE. El tratamiento en curso en la fecha de aplicación del presente reglamento deberá ajustarse al mismo en un plazo de dos años a partir de la fecha de entrada en vigor del presente reglamento. Si el tratamiento se basa en el consentimiento conforme a la Directiva 95/46/CE, no es necesario que el interesado vuelva a dar su consentimiento si la forma en que lo dio es conforme a las condiciones de esta normativa, de modo que el El operador puede continuar con dicho procesamiento después de la fecha de aplicación de este reglamento. Las decisiones adoptadas por la Comisión y las autorizaciones de las autoridades de control emitidas sobre la base de la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.
(172) La Autoridad Europea de Protección de Datos fue consultada de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº. 45/2001 y emitió dictamen el 7 de marzo de 2012 (1).
(1) DO C 192 de 30.6.2012, p.7.
(173) Este Reglamento debe aplicarse a todos los aspectos relacionados con la protección de los derechos y libertades fundamentales relacionados con el tratamiento de datos personales, que no están sujetos a obligaciones específicas con el mismo objetivo que el establecido en la Directiva 2002/58/CE de la Parlamento Europeo y del Consejo (2), incluidas las obligaciones relativas al operador y los derechos de las personas físicas. Para aclarar la relación entre el presente Reglamento y la Directiva 2002/58/CE, ésta debe modificarse en consecuencia. Tras la adopción del presente Reglamento, la Directiva 2002/58/CE debe revisarse, en particular, para garantizar su coherencia con el mismo.
(2) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, sobre el tratamiento de datos personales y la protección de la confidencialidad en el sector de las comunicaciones públicas (Directiva sobre confidencialidad y comunicaciones electrónicas) (DO L 201, 31.7.2002, pág. 37).
ACEPTA ESTAS NORMAS:
- **** -
CAPÍTULO I: Disposiciones generales
Art. 1: Objeto y objetivos
(1) El presente reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, así como las normas relativas a la libre circulación de datos personales.
(2) El presente Reglamento garantiza la protección de los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos personales.
(3) La libre circulación de datos personales dentro de la Unión no puede restringirse ni prohibirse por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Art. 2: Ámbito material
(1) Este reglamento se aplica al procesamiento de datos personales, realizado total o parcialmente por medios automatizados, así como al procesamiento por medios distintos de los automatizados de datos personales que forman parte de un sistema de registro de datos o que están destinados a formar parte de un sistema de registro de datos.
(2) Este reglamento no se aplica al procesamiento de datos personales:
a) dentro de una actividad que no esté comprendida en el derecho de la Unión;
b) por los Estados miembros cuando realicen actividades comprendidas en el Capítulo 2 del Título V del Tratado UE;
c) por una persona física en una actividad exclusivamente personal o doméstica;
d) por las autoridades competentes con el fin de prevenir, investigar, detectar o perseguir delitos, o hacer cumplir sanciones penales, incluida la protección contra amenazas a la seguridad pública y su prevención.
(3) Para el procesamiento de datos personales por parte de las instituciones, organismos, oficinas y agencias de la Unión, Reglamento (CE) no. 45/2001. Reglamento (CE) nº. 45/2001 y demás actos jurídicos de la Unión aplicables a dicho tratamiento de datos personales se adaptan a los principios y normas de este reglamento de conformidad con el artículo 98.
(4) El presente Reglamento no afecta a la aplicación de la Directiva 2000/31/CE, en particular las normas relativas a la responsabilidad de los proveedores de servicios intermediarios, previstas en los artículos 12 a 15 de dicha Directiva.
Art. 3: Ámbito territorial
(1) Este reglamento se aplica al procesamiento de datos personales dentro de las actividades de una oficina de un operador o de una persona autorizada por el operador en el territorio de la Unión, independientemente de si el procesamiento tiene lugar en el territorio de la Unión o no. .
(2) El presente Reglamento se aplica al tratamiento de datos personales de interesados ubicados en la Unión por un operador o una persona autorizada por el operador que no esté establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) ofrecer bienes o servicios a dichas personas interesadas en la Unión, independientemente de si la persona interesada solicita o no un pago; o
b) controlar su comportamiento si se manifiesta dentro de la Unión.
(3) Este reglamento se aplica al procesamiento de datos personales por parte de un operador que no está establecido en la Unión, sino en un lugar donde se aplica el derecho interno basado en el derecho internacional público.
Art. 4: Definiciones
Para los efectos de este reglamento:
1. "datos personales" significa cualquier información relativa a una persona física identificada o identificable ("el interesado"); Una persona física identificable es una persona que puede ser
identificado, directa o indirectamente, en particular por referencia a un elemento de identificación, como un nombre, un número de identificación, datos de ubicación, un identificador en línea, o a uno o más elementos específicos, su propia identidad física, fisiológica, genética, psicológica, económico, cultural o social; 2. "procesamiento" significa cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, con o sin el uso de medios automatizados, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta. , uso, divulgación por transmisión, difusión o puesta a disposición de cualquier otro modo, alineación o combinación, restricción, eliminación o destrucción; 3. "restricción de procesamiento" significa el marcado de datos personales almacenados con el objetivo de limitar su procesamiento futuro;
4. "perfilado" significa cualquier forma de procesamiento automatizado de datos personales que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir aspectos del desempeño en el trabajo, situación económica. , salud, preferencias personales, intereses, confiabilidad, comportamiento, el lugar donde se encuentra la respectiva persona física o sus movimientos;
5. "seudónimización" significa el procesamiento de datos personales de tal manera que ya no puedan atribuirse a una persona específica sin utilizar información adicional, siempre que esta información adicional se almacene por separado y esté sujeta a ciertas medidas técnicas y organizativas para garantizar que los respectivos datos personales no sean asignados a una persona física identificada o identificable;
6. "sistema de registro de datos": cualquier conjunto estructurado de datos personales accesibles según criterios específicos, ya sean centralizados, descentralizados o distribuidos según criterios funcionales o geográficos;
7. "operador" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, establece los fines y medios del procesamiento de datos personales; cuando los fines y medios del tratamiento estén establecidos por el derecho de la Unión o el derecho interno, el operador o los criterios específicos para su designación podrán estar previstos en el derecho de la Unión o el derecho interno;
8. "persona autorizada por el operador": la persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del operador; 9. "destinatario" significa la persona física o jurídica, autoridad pública, agencia u otro organismo a quien (a quien) se revelan los datos personales, independientemente de si se trata de un tercero o no. Sin embargo, no se consideran destinatarios las autoridades públicas a las que se puedan comunicar datos personales en el marco de una determinada investigación de conformidad con el Derecho de la Unión o el Derecho interno; el procesamiento de estos datos por parte de las respectivas autoridades públicas cumple con las normas de protección de datos aplicables, de acuerdo con los fines del procesamiento;
10. "tercero" significa una persona física o jurídica, autoridad pública, agencia u organismo distinto del interesado, el operador, la persona autorizada por el operador y las personas que, bajo la autoridad directa del operador o de la persona autorizada por el operador, están autorizados a procesar datos personales;
11. "consentimiento" del interesado significa cualquier manifestación de voluntad libre, específica, informada e inequívoca del interesado por la cual acepta, mediante una declaración o una acción inequívoca, que los datos personales que le conciernen sean tratados; 12. "violación de seguridad de datos personales" significa una violación de seguridad que conduce, accidental o ilegalmente, a la destrucción, pérdida, modificación o divulgación no autorizada de datos personales transmitidos, almacenados o procesados de otra manera, o al acceso no autorizado a ellos;
13. "datos genéticos": los datos personales relacionados con las características genéticas heredadas o adquiridas de una persona física, que proporcionan información única sobre la fisiología o la salud de la persona en cuestión y que resultan, en particular, de un análisis de una muestra de datos biológicos. material recopilado por la persona en cuestión;
14. "datos biométricos" significa datos personales resultantes de técnicas de procesamiento específicas relacionadas con las características físicas, fisiológicas o de comportamiento de una persona física que permiten o confirman la identificación única de esa persona, como imágenes faciales o datos dactiloscópicos;
15. "datos de salud" significa datos personales relacionados con la salud física o mental de una persona natural, incluida la prestación de servicios de asistencia médica, que revelan información sobre su estado de salud;
16. "sede" significa:
a) en el caso de un operador con sede en al menos dos Estados miembros, el lugar donde esté situada su administración central en la Unión, a menos que las decisiones relativas a los fines y medios del tratamiento de datos personales se adopten en otra sede de la Unión. operador en la Unión, sede que tiene competencia para ordenar la ejecución de estas decisiones, en cuyo caso se considera sede principal la sede que tomó las respectivas decisiones;
b) en el caso de una persona autorizada por el operador con sede en al menos dos Estados miembros, el lugar donde está situada su administración central en la Unión, o, si la persona autorizada por el operador no tiene una administración central en la Unión, la sede de la Unión de la persona autorizada por el operador en la que se llevan a cabo las principales actividades de procesamiento, en el contexto de las actividades de una oficina de la persona autorizada por el operador, en la medida en que esté sujeta a normas específicas obligaciones bajo este reglamento;
17. "representante": una persona física o jurídica establecida en la Unión, designada por escrito por el operador o la persona autorizada por el operador de conformidad con el artículo 27, que representa al operador o a la persona autorizada con respecto a sus respectivas obligaciones en virtud del presente regulaciones;
18. "empresa" significa una persona natural o jurídica que realiza una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que realizan regularmente una actividad económica;
19. "grupo de empresas" significa una empresa que ejerce el control y las empresas controladas por ella;
20. "Normas corporativas obligatorias": las políticas de protección de datos personales que deben ser respetadas por un operador o una persona autorizada por el operador establecida en el territorio de un Estado miembro, respecto de transferencias o conjuntos de transferencias de datos con carácter personal a un operador o una persona autorizada por el operador en uno o más terceros países dentro de un grupo de empresas o de un grupo de empresas que participan en una actividad económica común;
21. "autoridad de control": una autoridad pública independiente establecida por un Estado miembro de conformidad con el artículo 51;
22. "autoridad de control objetivo" significa una autoridad de control a la que se dirige el procesamiento de datos personales porque:
a) el operador o la persona autorizada por el operador esté establecido en el territorio del Estado miembro de la autoridad de control respectiva;
(b) los interesados que residen en el Estado miembro donde está ubicada la autoridad de control respectiva se ven significativamente afectados o es probable que se vean significativamente afectados por el procesamiento; o
(c) se ha presentado una queja ante la autoridad de control respectiva;
23. "procesamiento transfronterizo" significa:
a) bien el tratamiento de datos personales que tenga lugar en el contexto de las actividades de la sede en varios Estados miembros de un operador o de una persona autorizada por el operador en el territorio de la Unión, si el operador o la persona autorizada por el operador tiene su sede en al menos dos Estados miembros; o
b) bien el tratamiento de datos personales que tenga lugar en el contexto de las actividades de una oficina única de un operador o de una persona autorizada por el operador en el territorio de la Unión, pero que afecte en
de manera significativa o que pueda afectar significativamente a interesados de al menos dos Estados miembros;
24. "objeción pertinente y motivada" significa una objeción a un proyecto de decisión para establecer si existe una violación de este reglamento o si las medidas previstas con respecto al operador o la persona autorizada por el operador cumplen con este reglamento, que demuestra claramente la importancia de los riesgos que presenta el proyecto de decisión en relación con los derechos y libertades fundamentales de las personas afectadas y, en su caso, la libre circulación de datos personales dentro de la Unión;
25. «Servicios de la sociedad de la información»: un servicio tal como se define en el artículo 1.
el apartado (1), letra (b), de la Directiva 2015/1535/CE del Parlamento Europeo y del Consejo (1);
(1) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, sobre el procedimiento de suministro de información en materia de reglamentaciones y normas técnicas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).
(a partir del 23 de mayo de 2018, Art. 4, punto 25. del Capítulo I rectificado por el punto 2. de la Rectificación de 23 de mayo de 2018)
26. "organización internacional" significa una organización y sus órganos subordinados regulados por el derecho internacional público o cualquier otro organismo que se establezca mediante un acuerdo celebrado entre dos o más países o sobre la base de dicho acuerdo.
CAPÍTULO II: Principios
Art. 5: Principios relacionados con el tratamiento de datos personales
(1) Los datos personales son:
a) procesado de manera legal, justa y transparente para el interesado ("legalidad, equidad y transparencia");
b) recopilados para fines específicos, explícitos y legítimos y no sean procesados posteriormente de manera incompatible con estos fines; el procesamiento posterior con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos no se considera incompatible con los fines iniciales, de conformidad con el artículo 89, apartado 1 ("limitaciones de los fines");
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados ("minimización de datos");
d) precisa y, si es necesario, actualizada; se deben tomar todas las medidas necesarias para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se procesan, se eliminen o rectifiquen sin demora ("exactitud");
e) conservarse en una forma que permita la identificación de las personas interesadas durante un período que no exceda el necesario para cumplir los fines para los cuales se procesan los datos; Los datos personales podrán almacenarse durante períodos más largos en la medida en que se procesarán exclusivamente con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos, de conformidad con el artículo 89, apartado 1, sujeto a la implementación. de las medidas técnicas y organizativas adecuadas previstas en este reglamento para garantizar los derechos y libertades del interesado ("limitaciones de almacenamiento");
f) procesado de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra pérdida, destrucción o daño accidental, tomando medidas técnicas u organizativas apropiadas ("integridad y confidencialidad").
(2) El operador es responsable del cumplimiento del párrafo (1) y puede demostrar este cumplimiento ("responsabilidad").
Art. 6: Legalidad del tratamiento
(1) El procesamiento es legal solo si y en la medida en que se aplique al menos una de las siguientes condiciones:
a) el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o más fines específicos;
b) el procesamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato;
c) el tratamiento es necesario para cumplir una obligación legal que incumbe al operador;
d) el procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
e) el procesamiento es necesario para el cumplimiento de una tarea que sirve a un interés público o que resulta del ejercicio de la autoridad pública que tiene conferida al operador;
f) el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el operador o un tercero, a menos que prevalezcan los intereses o derechos y libertades fundamentales del interesado, que requieren la protección de datos personales, especialmente cuando el interesado es un niño.
La letra f) del párrafo primero no se aplica cuando se trate de tratamientos realizados por autoridades públicas en el cumplimiento de sus funciones.
(2) Los Estados miembros podrán mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento en materia de procesamiento con el fin de cumplir con el párrafo (1), letras (c) y (e), definiendo requisitos específicos más precisos en materia de procesamiento y otras medidas para garantizar un procesamiento legal y justo, incluso para otras situaciones específicas de procesamiento, según lo dispuesto en el capítulo IX.
(3) La base para el procesamiento a que se refiere el párrafo (1), letras (c) y (e), debe estar prevista en: a) el derecho de la Unión; o
b) la ley interna que se aplica al operador.
La finalidad del tratamiento se establece sobre la base de la base jurídica respectiva o, en lo que respecta al tratamiento a que se refiere el párrafo (1) letra (e), es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de una función pública asignada al operador. La base jurídica respectiva podrá contener disposiciones específicas respecto de la adecuación de la aplicación de las normas de este reglamento, entre otras: las condiciones generales que regulan la licitud del tratamiento por parte del operador; los tipos de datos que son objeto de tratamiento; las personas interesadas; las entidades a las que se pueden divulgar los datos y el propósito para el cual se pueden divulgar los respectivos datos personales; limitaciones de propósito; períodos de almacenamiento; y operaciones y procedimientos de procesamiento, incluidas medidas para garantizar un procesamiento legal y justo, como aquellos para otras situaciones de procesamiento específicas según lo dispuesto en el Capítulo IX. El derecho de la Unión o el derecho interno persiguen un objetivo de interés público y son proporcionados al objetivo legítimo perseguido.
(4) Si el tratamiento para una finalidad distinta de aquella para la que se recogieron los datos personales no se basa en el consentimiento del interesado ni en el derecho de la Unión o el derecho interno, lo que constituye una medida necesaria y proporcionada en una sociedad democrática para Para proteger los objetivos mencionados en el artículo 23, apartado 1, el operador, a fin de determinar si el tratamiento para otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otros:
a) cualquier conexión entre los fines para los cuales se recogieron los datos personales y los fines del procesamiento posterior previsto;
b) el contexto en el que se recogieron los datos personales, especialmente en lo que respecta a la relación entre los interesados y el operador;
c) la naturaleza de los datos personales, especialmente en el caso del procesamiento de categorías especiales de datos personales, de conformidad con el artículo 9, o en el caso de que se procesen datos personales relacionados con condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento posterior previsto;
e) la existencia de garantías adecuadas, que pueden incluir el cifrado o la seudonimización.
Art. 7: Condiciones relativas al consentimiento
(1) Si el procesamiento se basa en el consentimiento, el operador debe poder demostrar que el interesado ha dado su consentimiento para el procesamiento de sus datos personales.
(2) Si el consentimiento del interesado se presta en el contexto de una declaración escrita que también se refiere a otros aspectos, la solicitud de consentimiento deberá presentarse en una forma que lo diferencie claramente de los demás aspectos, de forma comprensible y fácilmente accesible, utilizando un
lenguaje claro y sencillo. Cualquier parte de esa declaración que constituya una violación de este reglamento no es obligatoria.
(3) El interesado tiene derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afecta a la licitud del tratamiento realizado sobre la base del consentimiento antes de su retirada. Antes de dar su consentimiento, se informa al interesado de ello. Retirar el consentimiento es tan sencillo como darlo.
(4) Al evaluar si el consentimiento se presta libremente, se tiene en cuenta en la medida de lo posible el hecho de que, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, está condicionada o no al consentimiento respecto de la tratamiento de datos personales que no sean necesarios para la ejecución del presente contrato.
Art. 8: Condiciones aplicables al consentimiento de los niños en relación con los servicios de la sociedad de la información
(1) Si se aplica el artículo 6, párrafo (1), letra (a), en relación con la prestación de servicios de la sociedad de la información directamente a un niño, el procesamiento de los datos personales de un niño es legal si el niño tiene al menos 16 años. Si el niño es menor de 16 años, el procesamiento respectivo es legal sólo si y en la medida en que el consentimiento respectivo sea otorgado o autorizado por el titular de la responsabilidad parental sobre el niño.
Los Estados miembros podrán establecer por ley una edad inferior a estos efectos, siempre que dicha edad inferior no sea inferior a 13 años.
(2) El operador hace todos los esfuerzos razonables para verificar en tales casos que el titular de la responsabilidad parental haya otorgado o autorizado el consentimiento, teniendo en cuenta las tecnologías disponibles.
(3) El apartado (1) no afecta al derecho contractual general aplicable en los Estados miembros, como las normas relativas a la validez, celebración o efectos de un contrato en relación con un niño.
Art. 9: Tratamiento de categorías especiales de datos personales
(1) Está prohibido el tratamiento de datos personales que revelen origen racial o étnico, opiniones políticas, confesión religiosa o creencias filosóficas o afiliación sindical y el tratamiento de datos genéticos, datos biométricos para la identificación única de una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
(2) El párrafo (1) no se aplica en las siguientes situaciones:
a) el interesado ha dado su consentimiento explícito para el tratamiento de estos datos personales para uno o más fines específicos, a menos que el derecho de la Unión o el derecho interno establezcan que la prohibición prevista en el apartado 1 no puede levantarse con el consentimiento del interesado persona;
b) el procesamiento es necesario para cumplir con las obligaciones y ejercer derechos específicos del operador o del interesado en el ámbito del empleo y la seguridad social y la protección social, en la medida en que así lo autorice el derecho de la Unión o el derecho interno, o un convenio colectivo de trabajo celebrado conforme a la legislación nacional que proporcione garantías adecuadas para los derechos e intereses fundamentales de la persona interesada;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, cuando el interesado se encuentre física o jurídicamente incapaz de dar su consentimiento;
d) el tratamiento se realiza dentro de sus actividades legítimas y con garantías adecuadas por una fundación, una asociación o cualquier otra organización sin ánimo de lucro con especificidades políticas, filosóficas, religiosas o sindicales, siempre que el tratamiento se refiera únicamente a sus miembros o a los ex miembros del respectivo organismo o a personas con quienes tenga contactos permanentes en relación con sus fines y que los datos personales no sean comunicados a terceros sin el consentimiento de los interesados; e) el tratamiento se refiere a datos personales que el interesado hace públicamente abiertamente;
f) el tratamiento sea necesario para establecer, ejercer o defender un derecho ante los tribunales o siempre que los tribunales actúen en el ejercicio de su función judicial;
g) el procesamiento es necesario por razones de gran interés público, basado en el derecho de la Unión o en el derecho interno, que es proporcional al objetivo perseguido, respeta la esencia del derecho a la protección de datos y establece medidas apropiadas y específicas para proteger los derechos fundamentales y intereses del interesado;
h) el tratamiento sea necesario para fines relacionados con la medicina preventiva u laboral, la evaluación de la capacidad laboral del trabajador, el establecimiento de un diagnóstico médico, la prestación de asistencia o tratamiento médico o social o la gestión de sistemas y servicios de salud o de asistencia social, basada en el Derecho de la Unión o en el Derecho interno o basada en un contrato celebrado con un personal médico y sujeta al cumplimiento de las condiciones y garantías previstas en el apartado 3;
i) el procesamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección contra amenazas transfronterizas graves para la salud o la garantía de altos estándares de calidad y la seguridad de la atención médica y de los medicamentos o productos sanitarios, con base en la legislación de la Unión o del derecho interno, que prevé medidas apropiadas y específicas para proteger los derechos y libertades del interesado, especialmente el secreto profesional; o j) el procesamiento es necesario para fines de archivo en interés público, para fines de investigación científica o histórica o para fines estadísticos, de conformidad con el artículo 89, apartado 1, con base en el derecho de la Unión o el derecho interno, que es proporcional al objetivo seguido, respeta la esencia del derecho a la protección de datos y proporciona medidas apropiadas y específicas para proteger los derechos e intereses fundamentales del interesado.
(3) Los datos personales a que se refiere el párrafo (1) podrán ser procesados para los fines mencionados en el párrafo (2) letra (h) si los datos respectivos son procesados por un profesional sujeto a la obligación de guardar secreto profesional o bajo la responsabilidad, sobre la base del Derecho de la Unión o del Derecho interno o de las normas establecidas por los organismos nacionales competentes o por otra persona también sujeta a una obligación de confidencialidad sobre la base del Derecho de la Unión o del Derecho interno o de las normas establecidas por los organismos nacionales competentes.
(4) Los Estados miembros podrán mantener o introducir condiciones adicionales, incluidas restricciones, en relación con el tratamiento de datos genéticos, datos biométricos o datos sanitarios.
Art. 10: Tratamiento de datos personales relacionados con condenas penales y delitos
El procesamiento de datos personales relacionados con condenas e infracciones penales o con medidas de seguridad relacionadas de conformidad con el artículo 6, párrafo (1), se lleva a cabo únicamente bajo el control de una autoridad estatal o cuando el procesamiento está autorizado por la legislación de la Unión o por la legislación nacional que establece garantías adecuadas para los derechos y libertades de las personas interesadas. Cualquier registro completo de condenas penales se mantiene únicamente bajo el control de una autoridad estatal.
Art. 11: Tratamiento que no requiere identificación
(1) Si los fines para los cuales un operador procesa datos personales no requieren o ya no requieren la identificación de un interesado por parte del operador, el operador no tiene la obligación de conservar, obtener o procesar información adicional para identificar al interesado. con el único fin de cumplir con el presente reglamento.
(2) Si, en los casos mencionados en el párrafo (1) de este artículo, el operador puede demostrar que no es capaz de identificar a la persona en cuestión, le informará en consecuencia, si es posible. En tales casos, los artículos 15 a 20 no se aplican, a menos que el interesado, para ejercer sus derechos conforme a los respectivos artículos, proporcione información adicional que permita su identificación.
CAPÍTULO III: Derechos del titular de los datos
Sección 1: Transparencia y modalidades
Art. 12: Transparencia de la información, las comunicaciones y las formas de ejercicio de los derechos del interesado.
(1) El operador toma las medidas apropiadas para proporcionar al interesado cualquier información a que se refieren los artículos 13 y 14 y cualquier comunicación basada en los artículos 15 a 22 y 34 sobre el procesamiento, de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en particular
para cualquier información dirigida específicamente a un niño. La información se proporciona por escrito o por otros medios, incluido, en su caso, en formato electrónico. A petición del interesado, la información podrá proporcionarse verbalmente, siempre que se acredite por otros medios la identidad del interesado.
(2) El operador facilita el ejercicio de los derechos del interesado de conformidad con los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el operador no se niega a cumplir con la solicitud del interesado de ejercer sus derechos de conformidad con los artículos 15 a 22, a menos que el operador demuestre que no puede identificar el interesado.
(3) El operador proporciona al interesado información sobre las acciones tomadas a raíz de una solicitud basada en los artículos 15 a 22, sin demoras indebidas y, en cualquier caso, a más tardar un mes después de recibir la solicitud. Este plazo podrá ampliarse dos meses cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes. El operador informará al interesado de dicha prórroga, en el plazo de un mes desde la recepción de la solicitud, exponiendo los motivos del retraso. Si el interesado presenta una solicitud en formato electrónico, la información se proporciona en formato electrónico siempre que sea posible, a menos que el interesado solicite otro formato. (4) Si no toma medidas respecto de la solicitud del interesado, el operador informará a éste, sin demora y en el plazo máximo de un mes desde la recepción de la solicitud, de los motivos por los que no toma medidas y de las posibilidad de presentar una denuncia ante una autoridad de control y de interponer un recurso judicial.
(5) La información proporcionada en virtud de los artículos 13 y 14 y cualquier comunicación y medida adoptada en virtud de los artículos 15 a 22 y 34 se proporcionan de forma gratuita. Si las solicitudes de un interesado son claramente infundadas o excesivas, en particular debido a su carácter repetitivo, el operador podrá:
a) ya sea cobrar una tarifa razonable teniendo en cuenta los costos administrativos por proporcionar la información o comunicación o por tomar las medidas solicitadas;
b) o negarse a cumplir con la solicitud.
En estos casos, corresponde al operador probar el carácter manifiestamente infundado o excesivo de la solicitud.
(6) Sin perjuicio de lo dispuesto en el artículo 11, si tiene dudas razonables sobre la identidad de la persona física que presenta la solicitud mencionada en los artículos 15 a 21, el operador podrá solicitar que se le proporcione la información adicional necesaria para confirmar la identidad de la persona en cuestión. (7) La información que debe facilitarse a los interesados con arreglo a los artículos 13 y 14 podrá facilitarse en combinación con iconos normalizados para proporcionar de forma fácilmente visible, inteligible y claramente legible una visión general significativa del tratamiento previsto. Si los iconos se presentan en formato electrónico, deberán poder leerse automáticamente. (8) La comisión está facultada para adoptar actos delegados de conformidad con el artículo 92 con el fin de determinar la información que deben presentar los pictogramas y los procedimientos para proporcionar pictogramas normalizados.
Sección 2: Información y acceso a los datos personales
Art. 13: Información que debe proporcionarse si se recopilan datos personales del interesado
(1) Si se recopilan datos personales relacionados con un interesado de él, el operador, en el momento de obtener estos datos personales, proporciona al interesado toda la información siguiente:
a) la identidad y datos de contacto del operador y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, según sea el caso;
c) los fines para los cuales se procesan los datos personales, así como la base legal del procesamiento; d) si el procesamiento se realiza de conformidad con el artículo 6, párrafo (1), letra (f), los intereses legítimos perseguidos por el operador o un tercero;
e) destinatarios o categorías de destinatarios de datos personales;
f) si procede, la intención del operador de transferir datos personales a un tercer país o a una organización internacional y la existencia o ausencia de una decisión de la Comisión sobre la idoneidad
o, en el caso de las transferencias contempladas en los artículos 46 ó 47 o en el artículo 49, apartado 1, párrafo segundo, una referencia a las garantías apropiadas o apropiadas y a los medios para obtener una copia de las mismas, si han sido depositadas en disposición.
(2) Además de la información mencionada en el párrafo (1), cuando se obtienen los datos personales, el operador proporciona al interesado la siguiente información adicional necesaria para garantizar un procesamiento justo y transparente:
a) el plazo durante el cual se conservarán los datos personales o, si esto no es posible, los criterios utilizados para establecer este plazo;
b) la existencia del derecho a solicitar al operador, respecto de los datos personales relativos al interesado, el acceso a ellos, su rectificación o supresión o la limitación del tratamiento o el derecho a oponerse al tratamiento, así como el derecho a portabilidad de datos; c) cuando el tratamiento se base en el artículo 6, apartado 1, letra (a), o en el artículo 9, apartado 2, letra (a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento realizado sobre la base del consentimiento antes de su retirada;
d) el derecho a presentar una queja ante una autoridad de control;
e) si el suministro de datos personales representa una obligación legal o contractual o una obligación necesaria para la celebración de un contrato, así como si el interesado está obligado a proporcionar estos datos personales y cuáles son las posibles consecuencias del incumplimiento de este obligación;
f) la existencia de un proceso automatizado de toma de decisiones que incluya la creación de perfiles, a que se refiere el artículo 22, apartados 1 y 4, así como, al menos en los respectivos casos, información pertinente sobre la lógica utilizada y sobre la importancia y las consecuencias esperadas de dicho tratamiento para el interesado.
(3) Si el operador tiene la intención de procesar posteriormente los datos personales para un propósito distinto de aquel para el cual fueron recopilados, el operador deberá proporcionar al interesado, antes de este procesamiento posterior, información sobre el propósito secundario respectivo y cualquier información adicional. pertinente, de conformidad con el apartado 2).
(4) Los párrafos (1), (2) y (3) no se aplican si y en la medida en que la persona interesada ya posea la información respectiva.
Art. 14: Información a proporcionar si los datos personales no fueron obtenidos del interesado
(1) Si los datos personales no se obtuvieron del interesado, el operador le proporcionará la siguiente información:
a) la identidad y datos de contacto del operador y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, según sea el caso;
c) los fines para los cuales se procesan los datos personales, así como la base legal del procesamiento; d) categorías de datos personales en cuestión;
e) destinatarios o categorías de destinatarios de datos personales, según sea el caso;
f) en su caso, la intención del operador de transferir datos personales a un destinatario de un tercer país o de una organización internacional y la existencia o ausencia de una decisión de la Comisión sobre la idoneidad o, en el caso de las transferencias mencionadas en el en el artículo 46 ó 47 o en el artículo 49, apartado 1, segundo párrafo, una referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas, si se hubieran puesto a disposición.
(2) Además de la información mencionada en el párrafo (1), el operador proporciona al interesado la siguiente información necesaria para garantizar un procesamiento justo y transparente con respecto al interesado:
a) el plazo durante el cual se conservarán los datos personales o, si esto no es posible, los criterios utilizados para establecer este plazo;
b) si el procesamiento se realiza de conformidad con el artículo 6, párrafo (1), letra (f), los intereses legítimos perseguidos por el operador o un tercero;
c) la existencia del derecho a solicitar al operador, respecto de los datos personales relativos al interesado, el acceso a ellos, su rectificación o supresión o la limitación del tratamiento y el derecho a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. ; d) cuando el procesamiento se base en el artículo 6 párrafo (1) letra (a) o en el artículo 9 párrafo (2) letra (a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar la legalidad del procesamiento realizado sobre la base del consentimiento antes de su retirada;
e) el derecho a presentar una queja ante una autoridad de control;
f) la fuente de los datos personales y, en su caso, si provienen de fuentes disponibles públicamente;
g) la existencia de un proceso automatizado de toma de decisiones que incluya la creación de perfiles, a que se refiere el artículo 22, apartados 1 y 4, así como, al menos en los respectivos casos, información relevante sobre la lógica utilizada y sobre la importancia y las consecuencias esperadas de dicho tratamiento para el interesado.
(3) El operador proporciona la información mencionada en los párrafos (1) y (2):
a) dentro de un plazo razonable después de la obtención de los datos personales, pero no superior a un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los datos personales; b) si los datos personales se van a utilizar para la comunicación con el interesado, a más tardar en el momento de la primera comunicación al interesado respectivo; o
c) si se pretende comunicar datos personales a otro destinatario, a más tardar en la fecha en que se comuniquen por primera vez.
(4) Si el operador tiene la intención de procesar posteriormente los datos personales para un propósito distinto de aquel para el cual fueron obtenidos, el operador deberá proporcionar al interesado, antes de este procesamiento posterior, información sobre el propósito secundario respectivo y cualquier información adicional. pertinente, de conformidad con el apartado 2).
(5) Los párrafos (1) a (4) no se aplican si y en la medida en que:
a) la persona interesada ya posee la información;
b) el suministro de esta información resulta imposible o implicaría esfuerzos desproporcionados, especialmente en el caso de procesamiento con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos, sujeto a las condiciones y garantías previstas en el artículo 89, párrafo (1), o en la medida en que la obligación mencionada en el párrafo (1) de este artículo pueda hacer imposible o afectar gravemente el logro de los objetivos del procesamiento respectivo. En tales casos, el operador toma las medidas apropiadas medidas para proteger los derechos, las libertades y los intereses legítimos del interesado, incluida la puesta a disposición del público de la información;
c) la obtención o divulgación de datos esté expresamente prevista por el derecho de la Unión o el derecho interno al que se rige el operador y que prevé medidas adecuadas para proteger los intereses legítimos del interesado; o
d) si los datos personales deben permanecer confidenciales sobre la base de una obligación legal de secreto profesional regulada por el derecho de la Unión o el derecho interno, incluida la obligación legal de mantener el secreto.
Art. 15: Derecho de acceso del interesado
(1) El interesado tiene derecho a obtener del operador una confirmación de si se están procesando o no datos personales que le conciernen y, en caso afirmativo, acceder a los datos respectivos y a la siguiente información:
a) los fines del procesamiento;
b) las categorías de datos personales en cuestión;
c) destinatarios o categorías de destinatarios a quienes se han comunicado o se comunicarán datos personales, especialmente destinatarios de terceros países u organizaciones internacionales;
d) cuando sea posible, el período durante el cual se espera que se almacenen los datos personales o, si esto no es posible, los criterios utilizados para establecer este período; e) la existencia del derecho a solicitar al operador que rectifique o elimine datos personales o que restrinja el procesamiento de datos personales relacionados con el interesado o el derecho a oponerse al procesamiento;
f) el derecho a presentar una queja ante una autoridad de control;
g) si los datos personales no se recopilan del interesado, cualquier información disponible sobre su fuente;
h) la existencia de un proceso automatizado de toma de decisiones que incluya la creación de perfiles, a que se refiere el artículo 22, apartados 1 y 4, así como, al menos en los respectivos casos, información pertinente sobre la lógica utilizada y sobre la importancia y las consecuencias esperadas de dicho tratamiento para el interesado.
(2) Si los datos personales se transfieren a un tercer país o a una organización internacional, el interesado tiene derecho a ser informado sobre las garantías apropiadas en virtud del artículo 46 con respecto a la transferencia.
(3) El operador proporciona una copia de los datos personales que son objeto de procesamiento. Para cualquier otra copia solicitada por el interesado, el operador podrá cobrar una tarifa razonable, basada en los costos administrativos. Si el interesado presenta la solicitud en formato electrónico y salvo que solicite otro formato, la información se proporciona en un formato electrónico actualmente utilizado.
(4) El derecho a obtener una copia a que se refiere el párrafo (3) no afecta los derechos y libertades de los demás.
Sección 3: Rectificación y Supresión
Art. 16: Derecho de rectificación
El interesado tiene derecho a obtener del operador, sin demora indebida, la rectificación de los datos personales inexactos que le conciernen. Teniendo en cuenta los fines para los cuales se procesaron los datos, el interesado tiene derecho a obtener que se completen los datos personales que estén incompletos, incluso proporcionando una declaración adicional.
Arte. 17: Derecho a la supresión de los datos ("derecho al olvido")
(1) El interesado tiene derecho a obtener del operador la eliminación de los datos personales que le conciernen, sin demora indebida, y el operador tiene la obligación de eliminar los datos personales sin demora indebida si se aplica una de las siguientes razones: a ) los datos personales ya no son necesarios para cumplir los fines para los que fueron recopilados o tratados;
b) el interesado retira el consentimiento en virtud del cual se realiza el tratamiento, de conformidad con el artículo 6, apartado 1, letra (a), o el artículo 9, apartado 2, letra (a), y no existe otra base jurídica para el procesamiento;
c) el interesado se opone al procesamiento de conformidad con el artículo 21, párrafo (1), y no existen razones legítimas para prevalecer con respecto al procesamiento o el interesado se opone al procesamiento de conformidad con el artículo 21, párrafo (2);
d) los datos personales fueron procesados ilegalmente;
e) los datos personales deben eliminarse para cumplir con una obligación legal que recae en el operador basada en el derecho de la Unión o en el derecho interno bajo el cual se encuentra el operador; f) los datos personales fueron recopilados en relación con la prestación de servicios de la sociedad de la información a que se refiere el artículo 8, apartado 1.
(2) Si el operador ha hecho públicos datos personales y está obligado, según el párrafo (1), a eliminarlos, el operador, teniendo en cuenta la tecnología disponible y el coste de implementación, tomará medidas razonables, incluidas medidas técnicas, para informar los operadores que procesan datos personales que el interesado ha solicitado la eliminación por parte de estos operadores de cualquier enlace a los datos respectivos o de cualquier copia o reproducción de estos datos personales.
(3) Los párrafos (1) y (2) no se aplican en la medida en que el procesamiento sea necesario:
a) para el ejercicio del derecho a la libre expresión e información;
b) para cumplir con una obligación legal que prevé un procesamiento basado en el derecho de la Unión o el derecho interno que se aplica al operador o para el cumplimiento de una tarea realizada en interés
públicamente o en el ejercicio de una autoridad oficial conferida al operador;
c) por razones de interés público en el ámbito de la salud pública, de conformidad con el artículo 9, apartado 2
letras (h) e (i) y con el Artículo 9 párrafo (3);
d) con fines de archivo de interés público, con fines de investigación científica o histórica o con fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho mencionado en el apartado 1 pueda hacerlo imposible o afectar seriamente el logro de los objetivos de procesamiento
respectivamente; o
e) para conocer, ejercer o defender un derecho ante los tribunales. (a partir del 23 de mayo de 2018, Art. 17, párrafo (3) del Capítulo III, Sección 3, modificado por el punto 3 de la Reforma del 23 de mayo
2018)
Art. 18: El derecho a restringir el procesamiento
(1) El interesado tiene derecho a obtener del operador la limitación del tratamiento si se da uno de los siguientes casos:
a) el interesado impugna la exactitud de los datos, durante un período que permita al operador verificar la exactitud de los datos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales, solicitando en cambio la limitación de su uso;
c) el operador ya no necesita los datos personales para el procesamiento, pero el interesado los solicita para comprobar, ejercer o defender un derecho ante los tribunales; o
d) el interesado se opuso al tratamiento de conformidad con el artículo 21, apartado 1, durante el período en el que se comprueba si los derechos legítimos del operador prevalecen sobre los del interesado.
(2) Si el procesamiento ha sido restringido de conformidad con el párrafo (1), dichos datos personales podrán, con excepción del almacenamiento, procesarse únicamente con el consentimiento del interesado o para establecer, ejercer o defender un derecho ante los tribunales o para el protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un Estado miembro.
(3) El operador informará al interesado que haya obtenido una restricción de procesamiento de conformidad con el párrafo (1) antes de levantar la restricción de procesamiento.
Art. 19: Obligación de notificación respecto de la rectificación o supresión de datos personales o limitación del tratamiento
El operador comunicará a cada destinatario al que se hayan comunicado datos personales cualquier rectificación o supresión de datos personales o limitación del tratamiento realizada de conformidad con el artículo 16, el artículo 17, apartado 1, y el artículo 18, a menos que resulte imposible o requiera medidas desproporcionadas. esfuerzos. El operador informará al interesado sobre los respectivos destinatarios si el interesado así lo solicita.
Art. 20: Derecho a la portabilidad de los datos
(1) El interesado tiene derecho a recibir los datos personales que le conciernen y que ha proporcionado al operador en un formato estructurado, de uso común y legible por máquina y tiene derecho a transmitir estos datos a otro operador, sin obstáculos. del operador al que se le proporcionaron los datos personales, en el caso de que:
a) el procesamiento se basa en el consentimiento de conformidad con el artículo 6, párrafo (1), letra (a) o el artículo 9, párrafo (2), letra (a), o en un contrato de conformidad con el artículo 6, párrafo (1), letra (b); y b) el tratamiento se realiza por medios automáticos.
(2) Al ejercer el derecho a la portabilidad de datos de conformidad con el párrafo (1), el interesado tiene derecho a que sus datos personales se transmitan directamente de un operador a otro cuando esto sea técnicamente factible.
(3) El ejercicio del derecho mencionado en el párrafo (1) de este artículo no afecta el artículo 17. Este derecho no se aplica al procesamiento necesario para cumplir una tarea realizada en interés público o en el ejercicio de una autoridad oficial con que tiene conferido el operador.
(4) El derecho mencionado en el párrafo (1) no afecta los derechos y libertades de los demás.
Sección 4: El derecho de oposición y la toma de decisiones individual automatizada
Art. 21: Derecho de oposición
(1) En cualquier momento, el interesado tiene derecho a oponerse, por motivos relacionados con la situación particular en la que se encuentra, al tratamiento de conformidad con el artículo 6, apartado 1, letras (e) o (f), de datos personales. datos
personal que le concierne, incluyendo la creación de perfiles con base en las disposiciones respectivas. El operador ya no procesa datos personales, a menos que demuestre que tiene motivos legítimos e imperiosos que justifican el procesamiento y que prevalecen sobre los intereses, derechos y libertades del interesado o que el propósito es determinar, ejercer o defender un derecho. en
instancia.
(la fecha
23 de mayo de 2018 Art. 21, párr. (1) del capítulo III, apartado 4 rectificado por el punto 4. de la Rectificación de 23 de mayo de 2018)
(2) Cuando el tratamiento de datos personales tenga como objetivo el marketing directo, el interesado tiene derecho a oponerse en cualquier momento al tratamiento con este fin de los datos personales que le conciernen, incluida la creación de perfiles, en la medida en que está relacionado con el respectivo marketing directo.
(3) Si el interesado se opone al procesamiento con fines de marketing directo, sus datos personales dejarán de procesarse para este fin.
(4) A más tardar en el momento de la primera comunicación con el interesado, el derecho mencionado en los párrafos (1) y (2) se informa explícitamente al interesado y se presenta de forma clara y separada de cualquier otra información. .
(5) En el contexto del uso de servicios de la sociedad de la información y a pesar de la Directiva 2002/58/CE, el interesado puede ejercer su derecho de oposición a través de medios automáticos que utilicen especificaciones técnicas.
(6) Si los datos personales se procesan con fines de investigación científica o histórica o con fines estadísticos de conformidad con el artículo 89, párrafo 1, el interesado, por motivos relacionados con su situación particular, tiene derecho a oponerse al procesamiento de datos personales. que le conciernen, salvo que el tratamiento sea necesario para el desempeño de una misión por razones de interés público.
Art. 22: El proceso automatizado de toma de decisiones individuales, incluida la elaboración de perfiles
(1) El interesado tiene derecho a no ser objeto de una decisión basada exclusivamente en el tratamiento automatizado, incluida la creación de perfiles, que produzca efectos jurídicos que le conciernen o le afecten de manera similar de forma significativa.
(2) El párrafo (1) no se aplica si la decisión:
a) es necesario para la celebración o ejecución de un contrato entre el interesado y un operador de datos;
b) está autorizado por el derecho de la Unión o el derecho interno que se aplica al operador y que también establece medidas adecuadas para proteger los derechos, libertades e intereses legítimos de la persona interesada; o
c) se base en el consentimiento explícito del interesado.
(3) En los casos mencionados en el párrafo (2), letras (a) y (c), el operador de datos implementa medidas apropiadas para proteger los derechos, libertades e intereses legítimos del interesado, al menos su derecho a obtener intervención humana. por parte del operador, expresar su punto de vista y apelar la decisión.
(4) Las decisiones mencionadas en el párrafo (2) no se basan en las categorías especiales de datos personales mencionadas en el artículo 9, párrafo (1), a menos que se aplique el artículo 9, párrafo (2), letras (a) o (g) y en el que se hayan instaurado medidas apropiadas para proteger los derechos, libertades e intereses legítimos del interesado.
Sección 5: Restricciones
Art. 23: Restricciones
(1) El derecho de la Unión o el derecho interno que se aplica al operador de datos o a la persona autorizada por el operador podrá restringir mediante una medida legislativa el alcance de las obligaciones y derechos previstos en los artículos 12 a 22 y 34, así como en el artículo 5. en la medida en que sus disposiciones correspondan a los derechos y obligaciones previstos en los artículos 12 a 22, cuando tal
La restricción respeta la esencia de los derechos y libertades fundamentales y es una medida necesaria y proporcionada en una sociedad democrática para garantizar:
a) seguridad nacional;
b) defensa;
c) seguridad pública;
d) la prevención, investigación, detección o persecución penal de delitos o la ejecución de sanciones penales, incluida la protección contra amenazas a la seguridad pública y su prevención; e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, incluso en los ámbitos monetario, presupuestario y fiscal y en el ámbito de la información pública. salud y seguridad social;
f) proteger la independencia judicial y los procedimientos judiciales;
g) prevención, investigación, detección y persecución de violaciones a la ética en el caso de profesiones reguladas;
h) la función de seguimiento, inspección o regulación relacionada, aunque sea ocasionalmente, con el ejercicio del poder público en los casos mencionados en las letras (a)-(e) y (g);
i) protección del interesado o de los derechos y libertades de los demás; (j) ejecución de reclamaciones de derecho civil.
(2) En particular, cualquier medida legislativa a que se refiere el apartado (1) contiene disposiciones específicas, al menos, si procede, relativas a:
a) los fines del procesamiento o las categorías de procesamiento;
b) categorías de datos personales;
c) el alcance de las restricciones introducidas;
d) garantías para evitar abusos o accesos o transferencias ilegales;
e) mención del operador o categorías de operadores;
f) plazos de almacenamiento y garantías aplicables considerando la naturaleza, alcance y finalidades del procesamiento o categorías de procesamiento;
g) los riesgos para los derechos y libertades de las personas interesadas; y
h) el derecho de los interesados a ser informados sobre la restricción, salvo que ello pueda afectar a la finalidad de la misma.
CAPÍTULO IV: El operador y la persona autorizada por el operador
Sección 1: Obligaciones generales
Art. 24: Responsabilidad del operador
(1) Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos con diferentes grados de probabilidad y gravedad para los derechos y libertades de las personas físicas, el operador implementa medidas técnicas y organizativas apropiadas para garantizar y será con el fin de demostrar que el tratamiento se realiza de conformidad con el presente reglamento. Las medidas respectivas se revisan y actualizan si es necesario.
(2) Cuando sean proporcionales en relación con las operaciones de procesamiento, las medidas mencionadas en el párrafo (1) incluyen la implementación por parte del operador de políticas de protección de datos adecuadas. (3) La adhesión a los códigos de conducta aprobados, a que se refiere el artículo 40, o a un mecanismo de certificación aprobado, a que se refiere el artículo 42, podrá utilizarse como elemento para demostrar el cumplimiento de las obligaciones por parte del operador.
Art. 25: Garantizar la protección de los datos desde el momento de su concepción y por defecto (1) Considerando el estado actual de la tecnología, los costos de implementación y la naturaleza, alcance, contexto y fines del procesamiento, así como los riesgos con diferentes grados de probabilidad. y gravedad para los derechos y libertades de las personas físicas que presenta el procesamiento, el operador, tanto en el momento de establecer los medios de procesamiento como en el momento del procesamiento en sí, implementa medidas técnicas y organizativas apropiadas, como la seudonimización, que tienen como objetivo implementar de manera efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el procesamiento, para cumplir con los requisitos de este reglamento y proteger los derechos de los interesados.
(2) El operador implementa medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para cada propósito específico de procesamiento. Esta obligación se aplica al volumen de datos recogidos, al grado de su tratamiento, a su plazo de conservación y a su accesibilidad. En particular, tales medidas garantizan que, por defecto, un número ilimitado de personas no puedan acceder a los datos personales, sin la intervención de la persona.
(3) Un mecanismo de certificación aprobado de conformidad con el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos previstos en los apartados (1) y (2) de este artículo.
Art. 26: Operadores asociados
(1) Si dos o más operadores establecen conjuntamente los fines y medios del tratamiento, serán operadores asociados. Establecen de forma transparente las responsabilidades de todos en cuanto al cumplimiento de sus obligaciones en virtud del presente reglamento, en particular en cuanto al ejercicio de los derechos de los interesados y las obligaciones de todos de proporcionar la información prevista en los artículos 13 y 14, mediante mediante acuerdo entre ellos, salvo en el caso y en la medida en que las responsabilidades de los operadores estén establecidas en el Derecho de la Unión o en el Derecho interno que les sea aplicable. El acuerdo podrá designar un punto de contacto para las personas interesadas.
(2) El acuerdo mencionado en el apartado (1) refleja adecuadamente las funciones y relaciones respectivas de los operadores asociados frente a las personas interesadas. La esencia de este acuerdo se da a conocer al interesado.
(3) Independientemente de las cláusulas del acuerdo a que se refiere el párrafo (1), el interesado podrá ejercer sus derechos en virtud del presente reglamento respecto y en relación con cada uno de los operadores.
Art. 27: Representantes de operadores o personas autorizadas por operadores que no tengan su sede en la Unión
(1) Si se aplica el artículo 3, apartado 2, el operador o la persona autorizada por el operador designará por escrito a un representante en la Unión.
(2) La obligación estipulada en el párrafo (1) de este artículo no se aplica:
a) el tratamiento de carácter ocasional, que no incluye, a gran escala, el tratamiento de categorías especiales de datos, según lo previsto en el artículo 9, apartado 1, o el tratamiento de datos personales relacionados con condenas e infracciones penales mencionado en el artículo 10, y que es poco probable que genere un riesgo para los derechos y libertades de las personas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del procesamiento; o
b) una autoridad o un organismo público.
(3) El representante tiene su sede en uno de los Estados miembros donde se encuentran los interesados cuyos datos personales se procesan en relación con el suministro de bienes y servicios o cuyo comportamiento se controla.
(4) El representante recibe del operador o de la persona autorizada por el operador un mandato mediante el cual las autoridades de control y, en particular, los interesados pueden dirigirse al representante, además del operador o a la persona autorizada por el operador o en su lugar. de ellos, en todo lo relacionado con el tratamiento, con el fin de garantizar el cumplimiento de esta normativa.
(5) El nombramiento de un representante por el operador o la persona autorizada por el operador no afecta las acciones legales que podrían interponerse contra el operador o la persona autorizada por el propio operador.
Art. 28: La persona autorizada por el operador
(1) Si el tratamiento se va a realizar por cuenta de un operador, este sólo recurrirá a personas autorizadas que ofrezcan garantías suficientes para la aplicación de las medidas técnicas y organizativas adecuadas, de modo que el tratamiento cumpla con los requisitos establecidos en el presente reglamento y para garantizar la protección de los derechos del interesado.
(2) La persona autorizada por el operador no recluta a otra persona autorizada por el operador sin antes recibir una autorización escrita, específica o general, del operador. En el caso de una autorización general por escrito, la persona autorizada por el operador informa al operador sobre todo
cambios esperados con respecto a la incorporación o reemplazo de otras personas autorizadas por el operador, dándole así al operador la oportunidad de oponerse a estos cambios.
(3) El tratamiento por una persona autorizada por un operador está regulado por un contrato u otro acto jurídico basado en el Derecho de la Unión o en el derecho interno que sea vinculante para la persona autorizada por el operador en relación con el operador y que establezca el objeto y la duración. del procesamiento, la naturaleza y finalidad del procesamiento, el tipo de datos personales y las categorías de personas interesadas y las obligaciones y derechos del operador. El respectivo contrato o acto jurídico establece, en particular, que la persona autorizada por el operador:
a) procesar datos personales únicamente sobre la base de instrucciones documentadas del operador, incluso con respecto a transferencias de datos personales a un tercer país o una organización internacional, a menos que esta obligación recaiga en la persona autorizada según la legislación de la Unión o la legislación interna que se aplica a ello; en este caso, notificar esta obligación legal al operador antes del procesamiento, a menos que la ley respectiva prohíba dicha notificación por razones importantes relacionadas con el interés público;
b) se garantiza que las personas autorizadas a procesar datos personales se han comprometido a respetar la confidencialidad o tienen una obligación legal adecuada de confidencialidad;
c) adoptar todas las medidas necesarias de conformidad con el artículo 32;
d) cumplir con las condiciones mencionadas en los párrafos (2) y (4) con respecto a la contratación de otra persona autorizada por el operador;
e) teniendo en cuenta la naturaleza del tratamiento, ofrece asistencia al operador mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del operador de responder a las solicitudes relativas al ejercicio por parte del interesado de los derechos previstos en el Capítulo III; f) ayudar al operador a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone la persona autorizada por el operador;
g) a elección del operador, eliminar o devolver al operador todos los datos personales después de la terminación de la prestación de servicios relacionados con el procesamiento y eliminar las copias existentes, a menos que el derecho de la Unión o el derecho interno exijan el almacenamiento de datos personales;
h) proporciona al operador toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este artículo, permite las auditorías, incluidas las inspecciones, realizadas por el operador u otro auditor autorizado y contribuye a las mismas.
Respecto de la letra (h) del primer párrafo, la persona autorizada por el operador informará inmediatamente al operador si, en su opinión, una instrucción viola este reglamento u otras disposiciones de derecho interno o de la Unión en materia de protección de datos.
(4) En caso de que una persona autorizada por un operador contrate a otra persona autorizada para llevar a cabo actividades de procesamiento específicas en nombre del operador, las mismas obligaciones de protección de datos previstas en el contrato o en otro acto jurídico celebrado entre el operador y el persona autorizada por el operador, según lo dispuesto en el apartado 3, recaerá en la segunda persona autorizada, mediante un contrato u otro acto jurídico, basado en el Derecho de la Unión o en el Derecho interno, en particular la prestación de garantías suficientes para la ejecución de a medidas técnicas y organizativas adecuadas, para que el tratamiento cumpla los requisitos del presente reglamento. En caso de que esta segunda persona autorizada no cumpla con sus obligaciones en materia de protección de datos, la persona autorizada inicial seguirá siendo totalmente responsable ante el operador del cumplimiento de las obligaciones de esta segunda persona autorizada.
(5) La adhesión de la persona autorizada por el operador a un código de conducta aprobado, a que se refiere el artículo 40, o a un mecanismo de certificación aprobado, a que se refiere el artículo 42, podrá utilizarse como elemento para demostrar la existencia de suficientes garantías a que se refieren los apartados 1) y 4) de este artículo.
(6) Sin perjuicio de un contrato individual celebrado entre el operador y la persona autorizada por el operador, el contrato u otro acto jurídico mencionado en los párrafos (3) y (4) de este artículo podrá basarse, en todo o en parte , sobre las cláusulas contractuales tipo mencionadas en los párrafos (7) y (8) de este artículo, incluso cuando formen parte de una certificación otorgada al operador o a la persona autorizada por el operador de conformidad con los artículos 42 y 43.
(7) La Comisión podrá establecer cláusulas contractuales tipo para los aspectos mencionados en los párrafos (3) y (4) de este artículo y de conformidad con el procedimiento de examen mencionado en el artículo 93, párrafo (2).
(8) Una autoridad de control podrá adoptar cláusulas contractuales tipo para los aspectos mencionados en los párrafos (3) y (4) de este artículo y de conformidad con el mecanismo para garantizar la coherencia mencionado en el artículo 63.
(9) El contrato u otro acto jurídico mencionado en los párrafos (3) y (4) deberá formularse por escrito, incluso en formato electrónico.
(10) Sin perjuicio de los artículos 82, 83 y 84, si una persona autorizada por el operador viola este reglamento, al establecer los fines y medios del procesamiento de datos personales, la persona autorizada por el operador se considera operador respecto del respectivo tratamiento.
Art. 29: Realización de la actividad de procesamiento bajo la autoridad del operador o de la persona autorizada por el operador.
La persona autorizada por el operador y cualquier persona que actúe bajo la autoridad del operador o la persona autorizada por el operador que tenga acceso a datos personales no los procesarán excepto a petición del operador, a menos que el derecho de la Unión o el derecho interno le obliguen a hazlo.
Art. 30: Registros de actividades de procesamiento
(1) Cada operador y, en su caso, su representante llevarán un registro de las actividades de tratamiento realizadas bajo su responsabilidad. El registro incluye toda la siguiente información:
a) el nombre y los datos de contacto del operador y, en su caso, del operador asociado, del representante del operador y del delegado de protección de datos;
b) los fines del procesamiento;
c) una descripción de las categorías de personas interesadas y de las categorías de datos personales; d) las categorías de destinatarios a quienes se han comunicado o se comunicarán datos personales, incluidos destinatarios de terceros países u organizaciones internacionales;
e) en su caso, transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación del respectivo tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, segundo párrafo, la documentación que acredite la existencia de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la eliminación de diferentes categorías de datos; g) cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1.
(2) Cada persona autorizada por el operador y, según sea el caso, el representante de la persona autorizada por el operador mantiene un registro de todas las categorías de actividades de procesamiento realizadas en nombre de
el operador, que incluyen:
a) el nombre y datos de contacto de la persona o personas autorizadas por el operador y de cada operador en cuyo nombre actúa esta persona (estas personas), así como, en su caso, de
el representante del operador o el representante de la persona autorizada por el operador, y de
el delegado de protección de datos;
b) las categorías de actividades de procesamiento realizadas por cuenta de cada operador;
c) en su caso, transferencias de datos personales a un tercer país o a una organización
internacional, incluida la identificación del respectivo tercer país u organización internacional y, en el caso de transferencias previstas en el artículo 49, apartado 1, párrafo segundo, la documentación que acredite
la existencia de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas
mencionado en el artículo 32 párrafo (1).
(a partir del 23 de mayo de 2018, Art. 30, párrafo (2) de c
capítulo IV, apartado 1 rectificado por el punto 5. de la rectificación de 23 de mayo- (3) Los registros a que se refieren los apartados (1) y (2) se formulan por escrito, incluso en formato electrónico.
2018)
4) El operador o la persona autorizada por él, así como, en su caso, el representante del operador o la persona autorizada por éste, pondrán los registros a disposición de la autoridad de control, a petición de ésta.
(5) Las obligaciones mencionadas en los párrafos 1 y 2 no se aplican a una empresa u organización con menos de 250 empleados, a menos que el procesamiento que lleva a cabo pueda generar un riesgo para los derechos y libertades de las personas interesadas, el procesamiento no no sea ocasional o el procesamiento incluya categorías especiales de datos, según lo previsto en el artículo 9, apartado 1, o datos personales relacionados con condenas e infracciones penales, como se menciona en el artículo 10.
Art. 31: Cooperación con la autoridad de control
El operador y la persona autorizada por el operador y, en su caso, su representante cooperarán, en
solicitud, con la autoridad de control en el cumplimiento de sus funciones.
(el 23 de mayo de 2018, Art. 31 del Capítulo IV, Sección 1 modificado por el punto 7. de Re
ctificación del 23-mayo-2018)
Sección 2: Seguridad de los datos personales
Art. 32: Seguridad del tratamiento
(1) Teniendo en cuenta la etapa actual de desarrollo, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo con diferentes grados de probabilidad y severidad para los derechos y libertades de las personas físicas, el operador y la persona por ella autorizada implementará medidas técnicas y organizativas adecuadas con el fin de garantizar un nivel de seguridad correspondiente a este riesgo, incluyendo entre otras, según sea el caso:
a) seudonimización y encriptación de datos personales;
b) la capacidad de asegurar la confidencialidad, integridad, disponibilidad y resistencia continua de los sistemas y servicios de procesamiento;
c) la capacidad de restablecer la disponibilidad de los datos personales y el acceso a ellos de manera oportuna en caso de un incidente físico o técnico;
d) un proceso de prueba, evaluación y valoración periódica de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
(2) Al evaluar el nivel adecuado de seguridad, se tienen en cuenta, en particular, los riesgos que presenta el tratamiento, generados en particular, accidental o ilegalmente, por la destrucción, pérdida, modificación, divulgación no autorizada o acceso no autorizado a los datos personales transmitidos. , almacenado o procesado de otra manera.
(3) La adhesión a un código de conducta aprobado, a que se refiere el artículo 40, o a un mecanismo de certificación aprobado, a que se refiere el artículo 42, podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos previstos en el apartado 1. de este artículo.
(4) El operador y la persona autorizada por él toman medidas para garantizar que cualquier persona física que actúe bajo la autoridad del operador o la persona autorizada por el operador y que tenga acceso a datos personales solo los procese a petición del operador. , salvo en el caso en que esta obligación le corresponda en virtud del Derecho de la Unión o del Derecho interno.
Art. 33: Notificación a la autoridad de control en caso de violación de la seguridad de los datos personales
(1) Si hay una violación de la seguridad de los datos personales, el operador deberá notificar
a las autoridades de control competentes en virtud del artículo 55, sin demoras indebidas y, si es posible, en un plazo máximo de 72 horas a partir de la fecha en que tuvo conocimiento, a menos que sea poco probable que genere un riesgo para los derechos y libertades
personas naturales. Si la notificación a la autoridad de control no se produce dentro del plazo
de 72 horas, esto va acompañado de una explicación razonada del retraso.
(el 23 de mayo de 2018 Art. 33, párrafo (1) del capítulo IV, sección 2 modificado por el punto
8. de la Corrección del 23 de mayo-
2018)
(2) La persona autorizada por el operador notifica al operador sin demora indebida después de tener conocimiento de una violación de la seguridad de los datos personales.
(3) La notificación a que se refiere el apartado (1) al menos:
a) describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de personas afectadas, así como las categorías y el número aproximado de registros de datos personales en cuestión;
b) comunicar el nombre y datos de contacto del delegado de protección de datos u otro punto de contacto donde se pueda obtener más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas tomadas o propuestas a tomar por el operador para remediar el problema de la violación de la seguridad de los datos personales, incluidas, según sea el caso, las medidas para mitigar sus posibles efectos negativos.
(4) Cuando y en la medida en que no sea posible proporcionar la información al mismo tiempo, podrá hacerlo en varias etapas, sin demoras injustificadas.
(5) El operador conserva documentos relacionados con todos los casos de violaciones de la seguridad de los datos personales, que incluyen una descripción de la situación fáctica en la que se produjo la violación de la seguridad de los datos personales, sus efectos y las medidas correctivas adoptadas. Esta documentación permite a la autoridad de control verificar el cumplimiento de este artículo.
Art. 34: Informar al interesado sobre la violación de la seguridad de los datos personales
(1) Si es probable que la violación de la seguridad de los datos personales genere un alto riesgo para los derechos y libertades de las personas físicas, el operador informará al interesado sin demora indebida sobre esta violación.
(2) La información enviada al interesado prevista en el párrafo (1) de este artículo incluye una descripción en un lenguaje claro y sencillo de la naturaleza de la violación de la seguridad de los datos personales, así como al menos la información y medidas mencionadas en el artículo 33 párrafo (3) letras (b), (c) y (d).
(3) No es necesario informar al interesado a que se refiere el apartado (1) si se cumple alguna de las siguientes condiciones:
a) el operador ha implementado medidas de protección técnicas y organizativas apropiadas, y estas medidas se han aplicado en el caso de datos personales afectados por la violación de la seguridad de los datos personales, en particular medidas para garantizar que los datos personales se vuelvan ininteligibles para cualquier persona que no sea autorizado para acceder a ellos, como el cifrado;
b) el operador ha tomado medidas adicionales para garantizar que ya no sea probable que se materialice el alto riesgo para los derechos y libertades de las personas interesadas a que se refiere el párrafo (1);
c) requeriría un esfuerzo desproporcionado. En esta situación, se realiza en su lugar una información pública o se adopta una medida similar mediante la cual se informa a los interesados de forma igualmente efectiva.
(4) Si el operador aún no ha comunicado la violación de la seguridad de los datos personales al interesado, la autoridad de control, después de tener en cuenta la probabilidad de que la violación de la seguridad de los datos personales genere un riesgo elevado, podrá solicitarle que lo haga o podrá decidir que se cumple cualquiera de las condiciones mencionadas en el párrafo (3).
Sección 3: Evaluación de impacto de la protección de datos y consulta previa
Art. 35: Evaluación del impacto en la protección de datos
(1) Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento, si un tipo de procesamiento, especialmente el basado en el uso de nuevas tecnologías, puede generar un alto riesgo para los derechos y libertades de las personas físicas, el operador realiza, antes del procesamiento, una evaluación del impacto de las operaciones de procesamiento realizadas en la protección de los datos personales. Una sola evaluación puede abordar un conjunto de operaciones de procesamiento similares que presentan altos riesgos similares.
(2) Al realizar una evaluación del impacto en la protección de datos, el operador solicita la opinión del delegado de protección de datos, si éste ha sido designado.
(3) La evaluación del impacto en la protección de datos a que se refiere el apartado (1) es necesaria especialmente en el caso de:
a) una evaluación sistemática e integral de los aspectos personales relacionados con las personas físicas, que se basa en el procesamiento automático, incluida la creación de perfiles, y que es la base de las decisiones que producen efectos jurídicos respecto de la persona física o que la afectan de manera manera similar en una medida significativa;
b) procesamiento a gran escala de categorías especiales de datos, a que se refiere el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales, a que se refiere el artículo 10; o
c) vigilancia sistemática a gran escala de una zona accesible al público.
(4) La autoridad de control elabora y publica una lista de los tipos de operaciones de procesamiento que están sujetos al requisito de realizar una evaluación de impacto sobre la protección de datos, de conformidad con el párrafo (1). La autoridad de control comunicará estas listas al comité mencionado en el artículo 68.
(5) La autoridad de control también podrá establecer y poner a disposición del público una lista de los tipos de operaciones de tratamiento para las que no es necesaria una evaluación del impacto en la protección de datos. La autoridad de control comunicará estas listas al comité.
6) Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo para garantizar la coherencia a que se refiere el artículo 63 en el caso de que dichas listas activas implicadas en tratamientos que impliquen la prestación de bienes o la prestación de servicios a los interesados o el seguimiento de su comportamiento en varios Estados miembros o que puedan afectar sustancialmente a la libre circulación de datos personales dentro de la Unión. (7) La evaluación contiene al menos:
a) una descripción sistemática de las operaciones de procesamiento esperadas y los fines del procesamiento, incluido, según sea el caso, el interés legítimo perseguido por el operador;
b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con estos fines; c) una evaluación de los riesgos para los derechos y libertades de las personas interesadas a que se refiere el apartado 1; y d) las medidas previstas para abordar los riesgos, incluidas garantías, medidas de seguridad y mecanismos diseñados para garantizar la protección de los datos personales y demostrar el cumplimiento de las disposiciones de este reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y otros personas interesadas.
(8) Al evaluar el impacto de las operaciones de tratamiento realizadas por los operadores o las personas autorizadas por los operadores pertinentes, el respeto por los respectivos operadores o personas autorizadas de los códigos de conducta aprobados a que se refiere el artículo 40, en particular con una con el fin de realizar evaluaciones de impacto en materia de protección de datos.
(9) El operador solicita, en su caso, el consentimiento de los interesados o de sus representantes respecto del tratamiento realizado, sin perjuicio de la protección de los intereses comerciales o públicos o de la seguridad de las operaciones de tratamiento.
(10) Cuando el procesamiento de conformidad con el artículo 6, párrafo (1), letras (c) o (e), tenga una base legal en la legislación de la Unión o de un estado miembro al que pertenece el operador, y esa ley regula el procesamiento específico. operación o el conjunto de operaciones específicas en cuestión y ya se ha llevado a cabo una evaluación del impacto en la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de la base jurídica respectiva, apartados (1) a (7) no se aplican, a menos que los Estados miembros consideren que es necesario realizar dicha evaluación antes de llevar a cabo las actividades de procesamiento.
(11) Cuando sea necesario, el operador realiza un análisis para evaluar si el tratamiento se realiza de conformidad con la evaluación de impacto en materia de protección de datos, al menos cuando se produce un cambio en el riesgo que representan las operaciones de tratamiento.
Art. 36: Consulta previa
(1) El operador consulta a la autoridad de control antes del tratamiento cuando la evaluación del impacto sobre la protección de datos prevista en el artículo 35 indique que el tratamiento generaría un riesgo elevado en ausencia de medidas adoptadas por el operador para mitigar el riesgo.
(2) Cuando considere que el procesamiento proporcionado mencionado en el párrafo (1) violaría este reglamento, especialmente cuando el riesgo no ha sido identificado o mitigado en suficiente medida.
al operador, la autoridad de control proporciona asesoramiento por escrito al operador y, en su caso, a la persona autorizada por el operador, dentro de un plazo máximo de ocho semanas desde la recepción de la solicitud de consulta, y puede hacer uso de cualquiera de las facultades mencionadas en el artículo 58. Este plazo podrá ampliarse hasta seis semanas, teniendo en cuenta la complejidad de la tramitación prevista. La autoridad de control informará al operador y, en su caso, a la persona autorizada por el operador, dentro del mes siguiente a la recepción de la solicitud, sobre dicha prórroga, exponiendo los motivos del retraso. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información que solicitó a efectos de la consulta.
(3) Al consultar a la autoridad de control de conformidad con el párrafo (1), el operador le proporciona:
a) si corresponde, las responsabilidades respectivas del operador, los operadores asociados y las personas autorizadas por el operador involucradas en las actividades de procesamiento, especialmente para el procesamiento dentro de un grupo de empresas;
b) los fines y medios del procesamiento previsto;
c) las medidas y garantías previstas para la protección de los derechos y libertades de los interesados, de conformidad con el presente reglamento;
d) en su caso, los datos de contacto del delegado de protección de datos;
e) la evaluación del impacto en la protección de datos prevista en el artículo 35; y
f) cualquier otra información solicitada por la autoridad de control.
(4) Los Estados miembros consultan a la autoridad de control en el proceso de preparación de una propuesta de medida legislativa que debe adoptar un parlamento nacional o de una medida reglamentaria basada en dicha medida legislativa, que se refiere al procesamiento. (5) Sin perjuicio del párrafo (1), la legislación nacional podrá exigir que los operadores consulten con la autoridad de control y obtengan de ella autorización previa en relación con el procesamiento por parte de un operador para cumplir una tarea ejercida por él en interés público, incluyendo tramitación relacionada con la protección social y la salud pública.
Sección 4: Delegado de Protección de Datos
Art. 37: Designación del delegado de protección de datos
(1) El operador y la persona autorizada por el operador designarán un delegado de protección de datos siempre que:
a) el tratamiento sea realizado por una autoridad u organismo público, con excepción de los tribunales que actúen en el ejercicio de su función jurisdiccional;
b) las principales actividades del operador o de la persona autorizada por el operador consisten en operaciones de tratamiento que, por su naturaleza, alcance y/o finalidades, requieren un seguimiento periódico y sistemático de las personas interesadas a gran escala; o
c) las principales actividades del operador o de la persona autorizada por el operador consisten en
procesamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 o de datos con
de carácter personal relacionado con condenas penales y delitos, mencionados en el artículo 10.
(al 23 de mayo de 2018, Art. 37, inciso (1), letra C. del capítulo IV, inciso 4 modificado por el punto 9. de la Rectificación de 23-
mayo-2018)
(2) Un grupo de empresas podrá nombrar un único delegado de protección de datos, siempre que sea fácilmente accesible desde cada empresa.
(3) Si el operador o la persona autorizada por el operador es una autoridad pública o un organismo público, se podrá nombrar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y su tamaño. (4) En casos distintos de los mencionados en el apartado 1, el operador o la persona autorizada por el operador o las asociaciones y otros organismos que representen categorías de operadores o personas autorizadas por los operadores podrán designar o, cuando el derecho de la Unión o el derecho interno requiere este trabajo, designa un delegado de protección de datos. El delegado de protección de datos puede actuar a favor de dichas asociaciones y otros organismos que representen a los operadores o a las personas autorizadas por los operadores.
(5) El delegado de protección de datos se designa sobre la base de sus cualidades profesionales y, en particular, de sus conocimientos especializados en la legislación y las prácticas en el ámbito de la protección de datos, así como sobre la base de su capacidad para realizar las tareas previstas. en el artículo 39.
(6) El responsable de la protección de datos podrá ser un miembro del personal del operador o la persona autorizada por el operador o podrá desempeñar sus funciones sobre la base de un contrato de servicios. (7) El operador o la persona autorizada por el operador publica los datos de contacto del delegado de protección de datos y los comunica a las autoridades de control.
Art. 38: Función del delegado de protección de datos
(1) El operador y la persona autorizada por el operador garantizan que el responsable de la protección de datos participe adecuada y oportunamente en todos los aspectos relacionados con la protección de datos personales.
(2) El operador y la persona autorizada por el operador apoyan al delegado de protección de datos en el cumplimiento de las tareas mencionadas en el artículo 39, proporcionándole los recursos necesarios para la ejecución de estas tareas, así como el acceso a los datos personales y las operaciones de procesamiento, y para mantener su especialidad de conocimientos.
(3) El operador y la persona autorizada por el operador se aseguran de que el delegado de protección de datos no reciba instrucciones sobre el desempeño de estas tareas. No es despedido ni sancionado por el operador ni por la persona autorizada por el operador para cumplir con sus funciones. El delegado de protección de datos es directamente responsable ante el nivel más alto de gestión del operador o de la persona autorizada por el operador.
(4) Los interesados podrán ponerse en contacto con el delegado de protección de datos con respecto a todos los asuntos relacionados con el procesamiento de sus datos y el ejercicio de sus derechos en virtud de este reglamento. (5) El responsable de la protección de datos tiene la obligación de respetar el secreto o la confidencialidad en el desempeño de sus funciones, de conformidad con el derecho de la Unión o el derecho interno. (6) El delegado de protección de datos podrá desempeñar otras funciones y responsabilidades. El operador o la persona autorizada por el operador garantiza que ninguna de estas tareas y deberes genere un conflicto de intereses.
Art. 39: Deberes del delegado de protección de datos
(1) El delegado de protección de datos tiene al menos las siguientes funciones:
a) informar y asesorar al operador, o a la persona autorizada por el operador, así como a los empleados que se ocupan del procesamiento, sobre sus obligaciones en virtud del presente reglamento y otras disposiciones del derecho de la Unión o del derecho interno en materia de protección de datos; b) supervisar el cumplimiento del presente reglamento, de otras disposiciones del derecho de la Unión o del derecho interno relativas a la protección de datos y de las políticas del operador o de la persona autorizada por el operador en materia de protección de datos personales, incluida la asignación de responsabilidades y acciones de sensibilización y capacitación del personal involucrado en las operaciones de procesamiento, así como auditorías relacionadas;
c) la prestación de asesoramiento, previa solicitud, sobre la evaluación del impacto en la protección de datos y el seguimiento de su funcionamiento, de conformidad con el artículo 35;
d) cooperación con la autoridad de control;
e) asumir el papel de punto de contacto de la autoridad de control respecto de las cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, así como, en su caso, la consulta sobre cualquier otro asunto.
(2) En el desempeño de sus funciones, el delegado de protección de datos tiene en cuenta el riesgo asociado a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
Sección 5: Códigos de conducta y certificación
Art. 40: Códigos de conducta
(1) Los Estados miembros, las autoridades de control, el Comité y la Comisión alientan el desarrollo de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de transformación y las necesidades específicas de microempresas y pequeñas empresas y las medianas.
(2) Las asociaciones y otros organismos que representen categorías de operadores o personas autorizadas por los operadores podrán elaborar códigos de conducta o podrán modificar o ampliar los existentes, con el fin de especificar la forma de aplicación de este reglamento, como por ejemplo en lo que respecta a:
a) procesamiento justo y transparente;
b) los intereses legítimos perseguidos por los operadores en contextos específicos; c) recopilación de datos personales;
d) seudonimización de datos personales;
e) informar al público ya las personas interesadas;
f) ejercer los derechos de las personas interesadas;
g) informar y proteger a los niños y la forma en que debe obtenerse el consentimiento de los titulares de la patria potestad sobre los niños;
h) las medidas y procedimientos mencionados en los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento, mencionadas en el artículo 32;
i) notificación a las autoridades de control sobre violaciones de seguridad de datos personales e información a las personas interesadas sobre estas violaciones;
j) la transferencia de datos personales a terceros países u organizaciones internacionales; o
k) procedimientos extrajudiciales y otros procedimientos de resolución de conflictos para resolver conflictos entre operadores y interesados en materia de tratamiento, sin perjuicio de los derechos de los interesados, de conformidad con los artículos 77 y 79.
(3) Los códigos de conducta aprobados de conformidad con el párrafo (5) de este artículo y que tienen una validez general de conformidad con el párrafo (9) de este artículo podrán adherirse no solo a los operadores o personas autorizadas por los operadores que son sujetos de este reglamento. , pero también operadores o personas autorizadas por operadores que no están sujetos al presente reglamento de conformidad con el artículo 3, con el fin de proporcionar garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en las condiciones mencionadas en el artículo 46, párrafo (2) letra (e). Estos operadores o personas autorizadas por los operadores asumen compromisos vinculantes y ejecutables, mediante instrumentos contractuales u otros instrumentos legalmente vinculantes, con el fin de aplicar las respectivas garantías apropiadas, incluso en lo que respecta a los derechos de las personas interesadas.
(4) El código de conducta previsto en el párrafo (2) de este artículo incluye mecanismos que permiten al organismo mencionado en el artículo 41, párrafo (1), llevar a cabo el control obligatorio del cumplimiento de sus disposiciones por parte de los operadores o personas autorizadas por operadores que se comprometan a aplicarlo, sin perjuicio de los deberes y facultades de las autoridades de control que sean competentes en virtud de los artículos 55 o 56.
(5) Las asociaciones y otros organismos mencionados en el párrafo (2) de este artículo que tengan la intención de preparar un código de conducta o modificar o ampliar un código existente deberán presentar el proyecto de código, modificación o extensión a la autoridad supervisora que sea competente en de conformidad con el artículo 55. La autoridad de control emite opinión sobre el cumplimiento de esta norma del proyecto de código, modificación o ampliación y lo aprueba si considera que ofrece garantías suficientes y adecuadas.
(6) Si el proyecto de código, modificación o ampliación se aprueba de conformidad con el apartado (5) y el código de conducta en cuestión no está relacionado con actividades de procesamiento en varios Estados miembros, la autoridad de control también registrará y publicará el código.
(7) Si un proyecto de código de conducta, modificación o ampliación se refiere a actividades de tratamiento en varios Estados miembros, antes de su aprobación, la autoridad de control competente de conformidad con el artículo 55 lo transmitirá, mediante el procedimiento previsto en el artículo 63, al comité, que emita opinión sobre el cumplimiento de este reglamento del respectivo proyecto, o, en la situación mencionada en el párrafo (3) de este artículo, ofrezca garantías adecuadas.
(8) Si el dictamen mencionado en el párrafo (7) confirma el cumplimiento de esta regla del proyecto de código, enmienda o extensión o si, en la situación mencionada en el párrafo (3), ofrece garantías adecuadas, el comité transmite el dictamen de la Comisión.
(9) La Comisión podrá adoptar actos de ejecución para decidir que el código de conducta aprobado, la modificación o la ampliación que se le presente de conformidad con el apartado (8) del presente artículo tenga validez general en la Unión. Los respectivos actos de ejecución se adoptan de conformidad con el procedimiento de examen previsto en el artículo 93, apartado 2.
(10) La comisión garantizará una publicidad adecuada de los códigos aprobados cuya validez general se haya decidido de conformidad con el apartado (9).
(11) El Comité agrupa en un registro todos los códigos de conducta, modificaciones y ampliaciones aprobados y los pone a disposición del público por los medios adecuados.
Art. 41: Seguimiento de los códigos de conducta aprobados
(1) Sin perjuicio de los deberes y competencias de la autoridad de control competente de conformidad con los artículos 57 y 58, el control del cumplimiento de un código de conducta de conformidad con el artículo 40 podrá ser realizado por un organismo que tenga un nivel adecuado de experiencia en relación con la materia del código y que esté acreditado a tal efecto por la autoridad de control competente.
(2) Un organismo mencionado en el párrafo (1) podrá ser acreditado para monitorear el cumplimiento de un código de conducta si:
a) ha demostrado ante las autoridades de control competentes, de manera satisfactoria, su independencia y experiencia en relación con el objeto del código;
b) instituyó procedimientos que le permitan evaluar la elegibilidad de los operadores y de las personas autorizadas por los operadores para aplicar el código, monitorear su cumplimiento de las disposiciones del código y revisar periódicamente su funcionamiento;
c) procedimientos y estructuras establecidos para tratar quejas sobre violaciones del código o sobre cómo el código fue o está siendo implementado por un operador o una persona autorizada por el operador, así como para garantizar la transparencia de estos procedimientos y estructuras para la personas interesadas y para el público; y
d) demostrado ante las autoridades de supervisión competentes, de manera satisfactoria, que sus deberes y atribuciones no crean conflictos de intereses.
(3) La autoridad de control competente presenta al comité el proyecto de requisitos para la acreditación de un organismo mencionado en el párrafo (1) de este artículo, de conformidad con el mecanismo
para asegurar la consistencia a que se refiere el artículo 63.
(a partir del 23 de mayo de 2018, art. 41, inciso 3) del capítulo IV, inc.
nea 5 corregida por el punto 10. de la Corrección de 23-may-
2018)
(4) Sin perjuicio de las tareas y competencias de la autoridad de control competente y de las disposiciones del Capítulo VIII, el organismo mencionado en el párrafo (1) de este artículo tomará las medidas apropiadas, sujetas a garantías adecuadas, en caso de violación del código. por un operador o una persona autorizada por el operador, incluso suspendiendo o excluyendo a ese operador o esa persona del código. El organismo de que se trate informa a la autoridad de control competente sobre estas medidas y los motivos que las determinaron.
(5) La autoridad de control competente revoca la acreditación de un organismo mencionado en el apartado
(1) en caso de que ya no se cumplan los requisitos para la acreditación o las medidas adoptadas por el organismo
en cuestión viola esta regulación.
(a partir del 23 de mayo de 2018, Art. 41, párrafo (5) de c
capítulo IV, apartado 5 rectificado por el punto 11. de la Rectificación de 23-mayo-
2018)
(6) Este artículo no se aplica al tratamiento realizado por autoridades y organismos públicos.
Art. 42: Certificación
(1) Los Estados miembros, las autoridades de control, el Comité y la Comisión fomentan, especialmente a nivel de la Unión, el establecimiento de mecanismos de certificación en el ámbito de la protección de datos, así como de sellos y marcas en este ámbito, que permitan demostrar el hecho de que las operaciones de tratamiento realizadas por los operadores y las personas autorizadas por los operadores cumplen con el presente reglamento. Se tienen en cuenta las necesidades específicas de las microempresas y de las pequeñas y medianas empresas. (2) Los mecanismos, sellos o marcas de certificación de protección de datos aprobados de conformidad con el párrafo (5) de este artículo están establecidos para ser respetados no sólo por los operadores o las personas autorizadas por los operadores que son objeto de este reglamento, sino también para demostrar la existencia de garantías adecuadas ofrecidas por los operadores o las personas autorizadas por
operadores que no estén sujetos al presente reglamento, en virtud del artículo 3, en el marco de transferencias de datos personales a terceros países u organizaciones internacionales en las condiciones previstas en el artículo 46, apartado 2, letra f). Estos operadores o personas autorizadas por los operadores asumen compromisos vinculantes y ejecutables, mediante instrumentos contractuales u otros instrumentos legalmente vinculantes, con el fin de aplicar las respectivas garantías apropiadas, incluso en lo que respecta a los derechos de las personas interesadas.
(3) La certificación es voluntaria y está disponible a través de un proceso transparente.
(4) La certificación de conformidad con este artículo no reduce la responsabilidad del operador o de la persona autorizada por el operador para cumplir con este reglamento y no afecta los deberes y poderes de las autoridades de supervisión que son competentes según el artículo 55 o 56. (5) Los organismos de certificación a que se refiere el artículo 43 o la autoridad de control competente emiten una certificación conforme a este artículo, basándose en los criterios aprobados por la autoridad de control competente pertinente conforme al artículo 58, párrafo (3), o por el comité conforme al artículo 63. Si Los criterios son aprobados por el comité, lo que puede dar lugar a una certificación común, concretamente el sello europeo de protección de datos.
(6) El operador o la persona autorizada por el operador que somete sus actividades de procesamiento al mecanismo de certificación ofrece al organismo de certificación a que se refiere el artículo 43 o, en su caso, a las autoridades de control competentes, toda la información necesaria para llevar a cabo el procedimiento de certificación, así como el acceso a las actividades de tramitación respectiva.
(7) La certificación se emite a un operador o a una persona autorizada por el operador para un
El período máximo es de tres años y puede renovarse en las mismas condiciones, siempre que se sigan cumpliendo los criterios pertinentes. La certificación será retirada, según el caso, por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente en el caso de que ya no sea válida.
Se cumplen los criterios para la certificación.
(a partir del 23 de mayo de 2018, art. 42, inciso (7) del cap.
IV, apartado 5 rectificado por el punto 12. de la Rectificación de 23 de mayo
2018)
(8) El Comité reagrupa en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los pone a disposición del público por cualquier medio adecuado.
Art. 43: Organismos de certificación
(1) Sin perjuicio de las funciones y competencias de la autoridad de control competente, previstas en los artículos 57 y 58, los organismos de certificación que tengan un nivel adecuado de competencia en materia de protección de datos, previa información a la autoridad de control para permitirle ejercer las facultades previstas en el artículo 58 apartado 2 letra h), expedir y renovar la certificación. Los Estados miembros garantizarán que estos organismos de certificación estén acreditados por una o ambas de las entidades siguientes:
a) la autoridad de control que sea competente de conformidad con el artículo 55 o 56;
b) el organismo nacional de acreditación designado de conformidad con el Reglamento (CE) no. 765/2008 del Parlamento Europeo y del Consejo (1) de conformidad con la norma EN-ISO/IEC 17065/2012 y con los requisitos adicionales establecidos por la autoridad de control que sea competente en virtud del artículo 55 o 56.
(1) Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado en materia de comercialización de productos y se deroga el Reglamento (CEE) n. 339/93 (DO L 218 de 13.8.2008, p. 30)
(2) Un organismo de certificación mencionado en el párrafo (1) está acreditado de conformidad con ese párrafo sólo si:
a) ha demostrado a las autoridades de control competentes, de manera satisfactoria, su independencia y experiencia en relación con el tema de la certificación;
b) comprometerse a cumplir los criterios mencionados en el artículo 42, apartado 5, y aprobados por la autoridad de control competente de conformidad con los artículos 55 o 56, o por el comité de conformidad con el artículo 63;
c) instituyó procedimientos para la emisión, revisión periódica y retiro de certificaciones, sellos y marcas en materia de protección de datos;
d) procedimientos y estructuras establecidos para manejar quejas sobre violaciones de la certificación o sobre la forma en que la certificación fue o es implementada por un operador o una persona autorizada por el operador, así como para garantizar la transparencia de estos procedimientos y estructuras para las personas interesadas y para el público; y
e) demostrado ante las autoridades de supervisión competentes, de manera satisfactoria, que sus deberes y atribuciones no crean conflictos de intereses.
(3) La acreditación de los organismos de certificación mencionados en los párrafos (1) y (2) de este artículo se lleva a cabo sobre la base de los requisitos aprobados por la autoridad supervisora que sea competente según el artículo 55 o 56, o por el comité según el artículo 63. En el caso de una acreditación en
De conformidad con el apartado (1) letra (b) de este artículo, estos requisitos complementan los previstos en el Reglamento (CE) n. 765/2008 y las normas técnicas que describen los métodos y procedimientos de los órganos
para certificar.
(el 23
i-2018 Art. 43, párr. (3) del capítulo IV, apartado 5 rectificado por el punto 13. de la Rectificación de 23-Mayo-
2018)
(4) Los organismos de certificación mencionados en el párrafo (1) son responsables de realizar una evaluación adecuada para certificar o retirar esta certificación, sin afectar la responsabilidad del operador o de la persona autorizada por el operador para cumplir con este reglamento. La acreditación se expide por un período máximo de cinco años y puede renovarse en las mismas condiciones, siempre que el organismo de certificación cumpla con los requisitos establecidos en este artículo.
(5) Los organismos de certificación a que se refiere el apartado (1) transmitirán a las autoridades de control competentes los motivos para conceder o retirar la certificación solicitada.
(6) Los requisitos mencionados en el párrafo (3) de este artículo y los criterios mencionados en el artículo 42, párrafo (5), serán publicados por la autoridad de control en un formato fácilmente accesible. autoridad
de supervisión también transmitir estos requisitos y criterios al comité.
(el 23 de mayo de 2018 Art. 43, párrafo (6) del capítulo IV, sección 5 modificado por el punto 1
4. de la Corrección del 23 de mayo-
2018)
(7) Sin perjuicio de las disposiciones del Capítulo VIII, la autoridad supervisora competente o el organismo nacional de acreditación revocará la acreditación otorgada a un organismo de certificación de conformidad con el párrafo (1) de este artículo si las condiciones para la acreditación no se cumplen o ya no se cumplen. o las medidas tomadas por el organismo de acreditación violen este reglamento.
(8) La Comisión está facultada para adoptar actos delegados de conformidad con el artículo 92, a fin de especificar los requisitos que deben tenerse en cuenta para los mecanismos de certificación de protección de datos, a que se refiere el artículo 42, apartado 1.
(9) La Comisión podrá adoptar actos de ejecución para establecer normas técnicas para los mecanismos de certificación, sellos y marcas en el ámbito de la protección de datos, así como mecanismos para promover y reconocer dichos mecanismos de certificación, sellos y marcas. Los respectivos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
CAPÍTULO V: Transferencias de datos personales a terceros países u organismos internacionales
Art. 44: El principio general de las transferencias
Cualquier dato personal que sea objeto de procesamiento o que deba ser procesado después de haber sido transferido a un tercer país o a una organización internacional sólo podrá transferirse si, sin perjuicio de las demás disposiciones de este reglamento, se cumplen las condiciones estipuladas en este capítulo. por el operador y la persona autorizada por el operador, incluso con respecto a las transferencias posteriores de datos personales desde el tercer país o desde la organización internacional a otro tercer país o a otra organización internacional. Todas las disposiciones de este capítulo se aplican para garantizar que no se menoscabe el nivel de protección de las personas físicas garantizado por este reglamento.
Art. 45: Transferencias basadas en una decisión sobre la adecuación del nivel de protección
(1) La transferencia de datos personales a un tercer país o a una organización internacional puede realizarse cuando la Comisión haya decidido que el tercer país, un territorio o uno o más sectores específicos
procedente de ese tercer país u organización internacional en cuestión garantiza un nivel adecuado de protección. Las transferencias realizadas bajo estas condiciones no requieren autorizaciones especiales.
(2) Al evaluar la adecuación del nivel de protección, la Comisión tiene en cuenta, en particular, los siguientes elementos:
a) el estado de derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y el derecho penal, así como el acceso de las autoridades públicas a los datos personales, así como la aplicación de esta legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas relativas a la transferencia posterior de datos personales a otro tercer país u organización internacional, que se respeten en el respectivo tercer país u organización internacional, respectivamente, la jurisprudencia, así como la existencia de derechos efectivos y oponibles de los titulares y de reparaciones administrativas y judiciales efectivas para los titulares cuyos datos personales sean transferidos;
b) la existencia y el funcionamiento eficiente de una o más autoridades de control independientes en el tercer país o bajo cuya jurisdicción se encuentre una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas de protección de datos, incluidos poderes adecuados para garantizar el cumplimiento de la solicitud, para proporcionar asistencia y asesoramiento a las personas interesadas en el ejercicio de sus derechos y cooperar con las autoridades de control de los Estados miembros; y
c) los compromisos internacionales a los que se haya adherido el tercer país u organización internacional de que se trate u otras obligaciones derivadas de convenios o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, especialmente en materia de protección de datos personales.
(3) La Comisión, tras evaluar la idoneidad del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o más sectores específicos de un tercer país o una organización internacional garanticen un nivel adecuado de protección. protección en el sentido del párrafo (2) de este artículo. El acto de ejecución prevé un mecanismo de revisión periódica, al menos una vez cada cuatro años, que tiene en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución menciona la aplicación geográfica y sectorial y, según sea el caso, identifica la autoridad o autoridades de control a que se refiere el apartado (2), letra (b), de este artículo. El acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
(4) La Comisión supervisa continuamente los acontecimientos en terceros países y a nivel de organizaciones internacionales que podrían afectar el funcionamiento de las decisiones adoptadas de conformidad con el párrafo (3) de este artículo y las decisiones adoptadas de conformidad con el artículo 25, párrafo (6) de Directiva 95/46/ QUÉ.
(5) Si la información disponible revela, en particular tras la revisión mencionada en el párrafo (3) del presente artículo, que un tercer país, un territorio o un sector específico de ese tercer país o una organización internacional ya no garantiza un nivel de protección adecuada en el sentido del apartado (2) del presente artículo, la Comisión, si es necesario, derogará, modificará o suspenderá, mediante un acto de ejecución, la decisión a que se refiere el apartado (3) del presente artículo sin efecto retroactivo. Los respectivos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
Por razones imperiosas de urgencia, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3.
(6) La comisión inicia consultas con el tercer país o la organización internacional para remediar la situación que fue la base de la decisión adoptada de conformidad con el párrafo (5).
(7) Una decisión adoptada de conformidad con el párrafo (5) de este artículo no afectará las transferencias de datos personales al tercer país, un territorio o uno o más sectores específicos de ese tercer país o a la organización internacional en cuestión de conformidad con los artículos 46-49. (8) La Comisión publica en el Diario Oficial de la Unión Europea y en su sitio web una lista de terceros países, territorios y sectores específicos de un tercer país y organizaciones internacionales en cuyo caso ha decidido que se alcanza el nivel adecuado de protección. asegurado o ya no está asegurado.
(9) Las decisiones adoptadas por la Comisión con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE seguirán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada con arreglo a los apartados 3 o 5. de este artículo.
Art. 46: Transferencias basadas en garantías adecuadas
(1) A falta de una decisión basada en el artículo 45, apartado 3, el operador o la persona autorizada por el operador podrá transferir datos personales a un tercer país o a una organización internacional sólo si el operador o la persona autorizada por el operador ha ofrecido garantías adecuadas y con la condición de que existan derechos oponibles y recursos efectivos para las personas interesadas.
(2) Las garantías adecuadas a que se refiere el apartado 1 podrán ofrecerse sin necesidad de autorización específica de una autoridad de control, mediante:
a) un instrumento jurídicamente vinculante y ejecutable entre autoridades u organismos públicos;
b) normas corporativas de obligado cumplimiento de conformidad con el artículo 47;
c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen mencionado en el artículo 93, apartado 2;
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión de conformidad con el procedimiento de examen mencionado en el artículo 93, apartado 2;
e) un código de conducta aprobado de conformidad con el artículo 40, acompañado de un compromiso vinculante y ejecutable por parte del operador o de la persona autorizada por el operador en el tercer país de aplicar garantías adecuadas, también en relación con los derechos de las personas interesadas; o
f) un mecanismo de certificación aprobado de conformidad con el artículo 42, acompañado de un compromiso vinculante y ejecutable por parte del operador o de la persona autorizada por el operador en el tercer país de aplicar garantías adecuadas, incluso en relación con los derechos de los interesados.
(3) Previa autorización de la autoridad de control competente, las garantías adecuadas a que se refiere el apartado 1 también podrán concederse, en particular, mediante:
a) cláusulas contractuales entre el operador o la persona autorizada por el operador y el operador, la persona autorizada por el operador o el destinatario de datos personales del tercer país o de la organización internacional; o
b) disposiciones que deberán incluirse en los acuerdos administrativos entre las autoridades u organismos públicos, que incluyan derechos oponibles y efectivos para los interesados.
(4) La autoridad de control aplicará el mecanismo para garantizar la coherencia a que se refiere el artículo 63, en los casos a que se refiere el apartado 3 de este artículo.
(5) Las autorizaciones concedidas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE son válidas hasta la fecha en que sean modificadas, sustituidas o derogadas, si fuera necesario, por las autoridades respectivas. autoridad supervisora. Las decisiones adoptadas por la Comisión de conformidad con el artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, si es necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.
Art. 47: Normas societarias obligatorias
(1) De conformidad con el mecanismo de coherencia previsto en el artículo 63, la autoridad de control competente aprueba normas corporativas de obligado cumplimiento, siempre que:
a) ser jurídicamente vinculante y aplicarse a cada miembro interesado del grupo de empresas o del grupo de empresas involucradas en una actividad económica común, incluidos sus empleados, así como ser implementado por los miembros en cuestión;
b) otorgar, expresamente, derechos oponibles a los interesados respecto del tratamiento de sus datos personales; y
c) cumplir los requisitos establecidos en el apartado (2).
(2) Las normas corporativas obligatorias mencionadas en el párrafo (1) especifican al menos:
a) la estructura y datos de contacto del grupo de empresas o del grupo de empresas involucradas en una actividad económica común y de cada uno de sus miembros;
b) las transferencias de datos o el conjunto de transferencias, incluidas las categorías de datos personales, el tipo de procesamiento y los fines del procesamiento, los tipos de interesados afectados y la identificación del tercer país o terceros países de que se trate;
c) su carácter jurídico obligatorio, tanto en el interior como en el exterior;
d) aplicación de principios generales en protección de datos, en particular limitación de finalidad, minimización de datos, períodos de almacenamiento limitados, calidad de los datos, protección de datos desde el momento de la concepción y protección implícita, base legal para el procesamiento, procesamiento de categorías especiales de datos personales , medidas para garantizar la seguridad de los datos, así como requisitos relativos a transferencias posteriores a organismos que no estén sujetos a normas corporativas obligatorias;
e) los derechos de los interesados en relación con el procesamiento y los medios para ejercer estos derechos, incluido el derecho a no estar sujeto a decisiones basadas exclusivamente en el procesamiento automático, incluida la creación de perfiles, de conformidad con el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros, de conformidad con el artículo 79, así como el derecho a obtener reparaciones y, en su caso, compensación por el incumplimiento de las normas corporativas imperativas;
f) la aceptación por el operador o por la persona autorizada por el operador, que tenga su sede en el territorio de un Estado miembro, de la responsabilidad por cualquier violación de las normas corporativas obligatorias por parte de cualquier miembro en el caso de que no tenga su sede en el Unión; el operador o la persona autorizada por el operador queda exento de esta responsabilidad, total o parcialmente, sólo si prueba que el respectivo miembro no fue responsable del hecho que causó el daño;
g) la forma en que se proporciona a las personas interesadas, además de la información mencionada en artículos 13 y 14;
h) las funciones de cualquier delegado de protección de datos designado de conformidad con el artículo 37 o de cualquier otra persona o entidad encargada de vigilar el cumplimiento de las normas corporativas obligatorias dentro del grupo de empresas o del grupo de empresas involucradas en una actividad económica común, las actividades de formación y gestión de quejas;
i) procedimientos para la formulación de denuncias;
j) los mecanismos dentro del grupo de empresas o del grupo de empresas que desarrollan una actividad económica común, destinados a garantizar el cumplimiento de las normas corporativas de obligado cumplimiento. Estos mecanismos incluyen auditorías de protección de datos y métodos para garantizar acciones correctivas diseñadas para proteger los derechos del interesado. Los resultados de estos controles deberán comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la sociedad que ejerza el control sobre el grupo de empresas o el grupo de empresas que realicen una actividad económica común y deberán realizarse a disposición de la autoridad de supervisión competente, previa solicitud;
k) los mecanismos para informar y registrar los cambios realizados en las reglas y para informar estos cambios a la autoridad de control;
l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento de las normas por parte de cualquier miembro del grupo de empresas o del grupo de empresas que participan en una actividad económica común, en particular poniendo a disposición de la autoridad de control los resultados de controles relativos a las medidas mencionadas en la letra j);
m) mecanismos de información a la autoridad de supervisión competente sobre cualquier requisito legal impuesto a un miembro del grupo de empresas o del grupo de empresas involucradas en una actividad económica común en un tercer país que pueda tener un efecto adverso considerable sobre las garantías proporcionadas por las normas obligatorias para los corporativistas; y
n) formación adecuada en materia de protección de datos del personal que tenga acceso permanente o periódico a datos personales.
(3) La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre operadores, personas autorizadas por los operadores y autoridades de supervisión de normas corporativas.
obligatorio en el sentido de este artículo. Los respectivos actos de ejecución se adoptan de conformidad con el procedimiento de examen previsto en el artículo 93, apartado 2.
Art. 48: Transferencias o divulgaciones de información no autorizadas por el derecho de la Unión.
Cualquier decisión de una corte o tribunal y cualquier decisión de una autoridad administrativa de un tercer país que obligue a un operador o a la persona autorizada por el operador a transferir o revelar datos personales podrá ser reconocida o ejecutada de cualquier manera sólo si se basa en un acuerdo internacional. acuerdo, como un tratado de asistencia jurídica mutua vigente entre el tercer país solicitante y la Unión o un Estado miembro, sin perjuicio de otros motivos de transferencia con arreglo al presente capítulo.
Art. 49: Exenciones para situaciones específicas
(1) En ausencia de una decisión sobre la idoneidad del nivel de protección de conformidad con el artículo 45, apartado 3, o garantías adecuadas de conformidad con el artículo 46, incluidas normas corporativas obligatorias, una transferencia o un conjunto de transferencias de datos con transferencia personal a un tercer país o a una organización internacional sólo puede tener lugar bajo una de las siguientes condiciones: a) el interesado ha expresado expresamente su acuerdo con respecto a la transferencia propuesta, después de haber sido informado de los posibles riesgos que tales transferencias pueden entrañar para el interesado persona como consecuencia de la falta de decisión sobre la adecuación del nivel de protección y garantías adecuadas;
b) la transferencia es necesaria para la ejecución de un contrato entre el interesado y el operador o para la aplicación de medidas precontractuales adoptadas a petición del interesado;
c) la transferencia es necesaria para la celebración de un contrato o para la ejecución de un contrato celebrado en interés del interesado entre el operador y otra persona física o jurídica;
d) la transferencia es necesaria por razones importantes de interés público;
e) la transferencia es necesaria para establecer, ejercer o defender un derecho ante los tribunales;
f) la transferencia sea necesaria para proteger intereses vitales del titular o de otras personas, cuando el titular no tenga la capacidad física o jurídica para expresar su consentimiento; g) la transferencia se realice a partir de un registro que, según el Derecho de la Unión o el Derecho interno, tenga por finalidad facilitar información al público y que pueda ser consultado bien por el público en general o por cualquier persona que acredite un interés legítimo, pero sólo en la medida en que se cumplan las condiciones relativas a la consulta previstas por el Derecho de la Unión o el Derecho interno en ese caso específico. Si una transferencia no pudiera basarse en una disposición prevista en el artículo 45 o 46, incluidas las disposiciones sobre normas corporativas obligatorias, y no fuera aplicable ninguna de las excepciones para situaciones específicas previstas en el primer párrafo de este párrafo, una transferencia a un tercer país o una organización internacional sólo puede tener lugar si la transferencia no es repetitiva, se refiere únicamente a un número limitado de interesados, es necesaria para alcanzar los principales intereses legítimos perseguidos por el operador sobre los cuales los intereses o derechos no prevalecen y las libertades del interesado y del operador evaluaron todas las circunstancias relacionadas con la transferencia de datos y, con base en esta evaluación, presentaron garantías adecuadas en materia de protección de datos personales. El operador informa a la autoridad de control sobre la transferencia. El operador, además de facilitar la información mencionada en los artículos 13 y 14, informa al interesado sobre la transferencia y los principales intereses legítimos que persigue.
(2) La transferencia conforme al párrafo (1), primer párrafo, letra (g) no involucra todos los datos personales o todas las categorías de datos personales incluidos en el registro. Cuando el registro deba ser consultado por personas que tengan un interés legítimo, la transferencia se hará sólo a petición de las respectivas personas o si serán sus destinatarios. (3) Las letras (a), (b) y (c) del primer párrafo del apartado 1 y el segundo párrafo no se aplicarán en el caso de actividades realizadas por autoridades públicas en el ejercicio de sus poderes públicos.
(4) El interés público previsto en el apartado 1, primer párrafo, letra d), está reconocido en el Derecho de la Unión o en el Derecho del Estado miembro al que pertenece el operador.
(5) A falta de una decisión sobre la adecuación del nivel de protección, el derecho de la Unión o el derecho interno podrán, por importantes consideraciones de interés público, establecer expresamente límites
sobre la transferencia de categorías específicas de datos personales a un tercer país o una organización internacional. Los Estados miembros notificarán estas disposiciones a la Comisión.
(6) El operador o la persona autorizada por el operador registrará la evaluación, así como las garantías apropiadas previstas en el segundo párrafo del párrafo (1) de este artículo, en los registros mencionados en el artículo 30.
Art. 50: Cooperación internacional en materia de protección de datos personales
Respecto a terceros países y organizaciones internacionales, la Comisión y las autoridades de control adoptarán las medidas adecuadas para:
(a) el desarrollo de mecanismos de cooperación internacional para facilitar la aplicación efectiva de la legislación sobre protección de datos personales;
(b) otorgar asistencia internacional mutua para garantizar la aplicación de la legislación en el campo de la protección de datos personales, incluso mediante notificación, transferencia de quejas, asistencia en investigaciones e intercambio de información, sujeto a garantías adecuadas para la protección de datos personales y otros derechos. y libertades fundamentales;
(c) la participación de partes interesadas relevantes en los debates y actividades encaminadas a intensificar la cooperación internacional en el ámbito de la aplicación de la legislación relativa a la protección de datos personales; (d) promover el intercambio mutuo y la documentación sobre la legislación y las prácticas en materia de protección de datos personales, incluidos los conflictos jurisdiccionales con terceros países.
CAPÍTULO VI: Autoridades supervisoras independientes
Sección 1: Estado independiente
Art. 51: La autoridad de control
(1) Cada Estado miembro garantiza que una o más autoridades públicas independientes sean responsables de controlar la aplicación del presente Reglamento, con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al procesamiento y para facilitar la libre circulación de datos personales. datos dentro de la Unión (la "autoridad de control"). (2) Cada autoridad de control contribuye a la aplicación coherente del presente Reglamento en toda la Unión. A tal efecto, las autoridades de control cooperarán tanto entre sí como con la Comisión, de conformidad con el Capítulo VII.
(3) Si en un Estado miembro se establecen varias autoridades de supervisión, designa la autoridad de supervisión que representa a las autoridades respectivas dentro del comité y establece un mecanismo para garantizar el cumplimiento por parte de las demás autoridades de las normas relativas al mecanismo para garantizar la coherencia prevista. en el artículo 63.
(4) Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con este capítulo antes del 25 de mayo de 2018 y, sin demora, cualquier modificación posterior que realice a estas disposiciones.
Artículo 52: Independencia
(1) Cada autoridad de control goza de total independencia en el desempeño de sus tareas y en el ejercicio de sus competencias de conformidad con el presente Reglamento.
(2) El miembro o miembros de cada autoridad de control, en el cumplimiento de sus deberes y el ejercicio de sus poderes de conformidad con este reglamento, permanecen independientes de cualquier influencia externa directa o indirecta y no solicitan ni aceptan instrucciones de una parte externa.
(3) El miembro o miembros de cada autoridad de control se abstendrán de realizar acciones incompatibles con sus atribuciones, y durante su mandato, no realizarán actividades incompatibles, remuneradas o no.
(4) Cada Estado miembro garantiza que cada autoridad de control disponga de recursos humanos, técnicos y financieros, de una sede y de la infraestructura necesaria para el cumplimiento de sus tareas y el ejercicio efectivo de sus competencias, incluidas las que deben aplicarse en el marco de la asistencia mutua. , cooperación y participación dentro del comité.
(5) Cada Estado miembro garantiza que cada autoridad de control seleccione su propio personal y tenga su propio personal bajo la gestión exclusiva del miembro o miembros de la autoridad de control respectiva.
(6) Cada Estado miembro garantiza que cada autoridad de control esté sujeta a un control financiero que no afecte a su independencia y que tenga presupuestos anuales públicos separados, que pueden formar parte del presupuesto general del Estado o del presupuesto nacional.
Art. 53: Condiciones generales aplicables a los miembros de la autoridad de control
(1) Los Estados miembros garantizan que cada miembro de su autoridad de control sea nombrado mediante un procedimiento transparente:
– por el parlamento;
- por el Gobierno;
- por el jefe de estado; o
- por un organismo independiente facultado para realizar nombramientos según la legislación nacional.
(2) Cada miembro en cuestión tiene las calificaciones, experiencia y competencias necesarias, especialmente en el campo de la protección de datos personales, para poder cumplir con sus deberes y ejercer sus competencias.
(3) Las funciones de un miembro cesarán en caso de expiración del mandato, en caso de renuncia o retiro de oficio de conformidad con la legislación interna pertinente.
(4) Un miembro sólo podrá ser despedido en caso de falta grave o si ya no reúne las condiciones necesarias para desempeñar sus funciones.
Art. 54: Normas relativas al establecimiento de la autoridad de control
(1) Cada estado miembro establece, mediante legislación, lo siguiente:
a) el establecimiento de cada autoridad de control;
b) las calificaciones y condiciones de elegibilidad necesarias para ser nombrado miembro de cada autoridad de control;
c) las reglas y procedimientos para designar al miembro o miembros de cada autoridad de control;
d) el mandato del miembro o miembros de cada autoridad de control, de al menos cuatro años, excepto el primer nombramiento después del 24 de mayo de 2016, parte del cual podrá ser por un período más corto si esto es necesario para proteger la autoridad de la autoridad. independencia de supervisión mediante un procedimiento de nombramiento escalonado;
e) si y cuántas veces el mandato del miembro o miembros de cada autoridad de control es elegible para renovación;
f) las condiciones que regulan las obligaciones del miembro o miembros y del personal de cada autoridad de control, las prohibiciones sobre las acciones, ocupaciones y prestaciones incompatibles con ellos durante el mandato y después de su terminación, así como las normas que regulan la terminación del mismo. el contrato de trabajo.
(2) El miembro o miembros y el personal de cada autoridad de control tienen la obligación, de conformidad con el Derecho de la Unión o el Derecho interno, de respetar, tanto durante el mandato como después de su terminación, el secreto profesional respecto de la información confidencial de la que hayan tenido conocimiento. en el cumplimiento de sus deberes o en el ejercicio de sus competencias. Durante su mandato, esta obligación de guardar el secreto profesional se aplica, en particular, a la denuncia por parte de personas físicas de infracciones del presente reglamento.
Sección 2: Cualificaciones, tareas y competencias
Art. 55: Competencia
(1) Cada autoridad de control tiene competencia para realizar las tareas y ejercer las competencias que le confiere el presente Reglamento en el territorio del Estado miembro al que pertenece.
(2) Si el tratamiento lo llevan a cabo autoridades públicas u organismos privados que actúan sobre la base del artículo 6, apartado 1, letras (c) o (e), la autoridad de control del estado
el miembro respectivo tiene la competencia. En tales casos, el artículo 56 no se aplica.
(a partir del 23 de mayo de 2018, Art. 55, párrafo (2) del Capítulo VI, Sección 2, modificado por el punto 15 de la Reforma del 23 de mayo de 2018)
(3) Las autoridades de control no son competentes para controlar las operaciones de tratamiento de los tribunales que actúan en el ejercicio de su función judicial.
Art. 56: Competencia de la autoridad supervisora principal
(1) Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control de la sede principal o de la sede única del operador o la persona autorizada por el operador es competente para actuar como autoridad de control principal para el procesamiento transfronterizo realizado por el respectivo operador o la respectiva persona autorizada en el caso de conformidad con el procedimiento previsto en el artículo 60.
(2) No obstante lo dispuesto en el párrafo (1), cada autoridad de control es competente para tramitar una queja presentada a su atención o una posible violación de este reglamento, si su objeto se refiere únicamente a una oficina ubicada en el estado o miembro o afecta significativamente a las personas objetivo sólo en su estado miembro.
(3) En los casos mencionados en el párrafo (2) de este artículo, la autoridad de control informará sin demora a la autoridad de control principal sobre este asunto. Dentro de las tres semanas siguientes al momento de la información, la autoridad de control principal decidirá si trata o no el caso respectivo de conformidad con el procedimiento previsto en el artículo 60, teniendo en cuenta si existe o no domicilio del operador o de la persona autorizado por el operador en el territorio del Estado miembro cuya autoridad de control le informó.
(4) Si la autoridad de control principal decide tramitar el caso, se aplicará el procedimiento previsto en el artículo 60. La autoridad de control que haya informado a la autoridad de control principal podrá presentar a esta última un proyecto de decisión. La principal autoridad de control tendrá en cuenta en la mayor medida posible el proyecto respectivo al preparar el proyecto de decisión previsto en el artículo 60, apartado 3.
(5) Si la autoridad de control principal decide no tramitar el caso, la autoridad de control que informó a la autoridad de control principal se ocupa del caso de conformidad con los artículos 61 y 62.
(6) La autoridad de control principal es el único interlocutor del operador o de la persona autorizada por el operador en relación con el procesamiento transfronterizo realizado por el operador respectivo o la persona autorizada por el operador.
Art. 57: Tareas
(1) Sin perjuicio de otras funciones establecidas en el presente reglamento, cada autoridad de control, en su territorio:
a) supervisar y garantizar la aplicación del presente reglamento;
b) promueve acciones para sensibilizar y comprender entre el público los riesgos, normas, garantías y derechos en materia de tratamiento. Se presta especial atención a las actividades que están dirigidas específicamente a los niños;
c) brinda asesoramiento, de conformidad con la legislación nacional, al parlamento nacional, el gobierno y otras instituciones y órganos respecto de medidas legislativas y administrativas relacionadas con la protección de los derechos y libertades de las personas físicas con respecto al procesamiento;
d) promueve acciones para sensibilizar a los operadores y a las personas autorizadas por ellos sobre sus obligaciones en virtud del presente reglamento;
e) previa solicitud, proporciona información a cualquier persona interesada en relación con el ejercicio de sus derechos de conformidad con este reglamento y, si es necesario, coopera con las autoridades supervisoras de otros estados miembros para este fin;
f) tramitar las denuncias presentadas por un interesado, un organismo, una organización o una asociación de conformidad con el artículo 80 e investigar en la medida adecuada el objeto de la denuncia e informar al denunciante sobre el progreso y el resultado de la investigación, dentro de un plazo un plazo razonable, especialmente si es necesario llevar a cabo una investigación más exhaustiva o coordinar con otra autoridad de control;
g) coopera, incluso mediante el intercambio de información, con otras autoridades de supervisión y ofrece asistencia mutua para garantizar la coherencia en la aplicación y el cumplimiento del presente reglamento;
h) lleva a cabo investigaciones sobre la aplicación del presente reglamento, incluso sobre la base de información recibida de otra autoridad de control o de otra autoridad pública;
i) monitorea los desarrollos relevantes, en la medida en que tengan un impacto en la protección de datos personales, especialmente la evolución de las tecnologías de la información y las comunicaciones y las prácticas comerciales;
j) adoptar las cláusulas contractuales tipo mencionadas en el artículo 28 párrafo (8) y el artículo 46 párrafo (2) letra (d);
k) elaborar y mantener actualizado un listado relacionado con la exigencia relativa a la evaluación del impacto en la protección de datos, de conformidad con el artículo 35 apartado 4;
l) ofrece asesoramiento sobre las operaciones de tratamiento a que se refiere el artículo 36, apartado 2; m) fomenta la elaboración de códigos de conducta de conformidad con el artículo 40, apartado 1, se pronuncia sobre ellos y aprueba aquellos que ofrezcan garantías suficientes, de conformidad con el artículo 40, apartado 5;
n) fomenta el establecimiento de mecanismos de certificación, así como sellos y marcas en el ámbito de la protección de datos de conformidad con el artículo 42, apartado 1, y aprueba los criterios de certificación de conformidad con el artículo 42, apartado 5;
o) en su caso, realizar una revisión periódica de las certificaciones otorgadas, de conformidad con el artículo 42, apartado 7;
p) elabora y publica los requisitos de acreditación de un organismo de seguimiento del código de conducta
de conformidad con el artículo 41 y de un organismo de certificación de conformidad con el artículo 43;
(el 23 de mayo de 2018 Art. 57, párrafo (1), letra P. del capítulo VI, apartado 2 rectificado por el punto 16. de la Rectificación de 23-
mayo-2018)
q) coordina el procedimiento de acreditación de un organismo de seguimiento del código de conducta de conformidad con el artículo 41 y de un organismo de certificación de conformidad con el artículo 43; r) autoriza las cláusulas y disposiciones contractuales a que se refiere el artículo 46, apartado 3;
s) aprobar las normas corporativas de obligado cumplimiento de conformidad con el artículo 47;
t) contribuye a las actividades del comité;
u) mantener registros internos actualizados sobre las violaciones del presente reglamento y las medidas adoptadas, en particular las advertencias emitidas y las sanciones impuestas de conformidad con el artículo 58, apartado 2; y v) realiza cualquier otra tarea relacionada con la protección de datos personales.
(2) Cada autoridad de control facilita la presentación de las quejas mencionadas en el párrafo (1) letra (f) mediante medidas tales como poner a disposición un formulario de presentación de quejas que se puede completar incluso en formato electrónico, sin excluir otros medios de comunicación. (3) El cumplimiento de las funciones de cada autoridad de control es gratuito para el interesado y, en su caso, para el delegado de protección de datos.
(4) Si las solicitudes son claramente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá cobrar una tasa razonable, basada en los costes administrativos, o podrá negarse a tramitarlas. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recae en la autoridad de control.
Art. 58: Facultades
(1) Cada autoridad de control tiene todas las siguientes facultades de investigación:
a) instruir al operador y a la persona autorizada por el operador y, en su caso, al representante del operador o a la persona autorizada por el operador, para que proporcionen cualquier información que la autoridad de control solicite para el cumplimiento de sus tareas;
b) realizar investigaciones en forma de auditorías de protección de datos;
c) realizar una revisión de las certificaciones otorgadas de conformidad con el artículo 42, apartado 7;
d) notificar al operador o a la persona autorizada por el operador sobre la presunta violación de este reglamento;
e) obtener, del operador y de la persona autorizada por el operador, acceso a todos los datos personales y a toda la información necesaria para el cumplimiento de sus tareas;
f) obtener acceso a cualquiera de las instalaciones del operador y de la persona autorizada por el operador, incluidos cualquier equipo y medio de procesamiento de datos, de conformidad con el derecho de la Unión o el derecho procesal interno.
(2) Cada autoridad de control tiene todas las siguientes facultades correctivas:
a) emitir advertencias a un operador o a una persona autorizada por el operador sobre la posibilidad de que las operaciones de procesamiento realizadas violen las disposiciones de este reglamento;
b) emitir advertencias dirigidas a un operador o a una persona autorizada por el operador en el caso
en las que las operaciones de tratamiento violaron lo dispuesto en este reglamento;
(el 23-mayo-2018 Art. 58, párrafo (2), letra B. del capítulo VI, apartado 2 rectificado por el punto 17. de la Rectificación de 23-
mayo-2018)
c) dar instrucciones al operador o a la persona autorizada por el operador para cumplir con las solicitudes del interesado para ejercer sus derechos conforme a este reglamento;
d) instruir al operador o a la persona autorizada por el operador para garantizar el cumplimiento de las operaciones de procesamiento con las disposiciones de este reglamento, especificando, en su caso, el método y el plazo para ello;
e) obligar al operador a informar al interesado sobre una violación de la protección de datos personales;
f) imponer una limitación temporal o definitiva, incluida la prohibición de procesamiento;
g) ordenar la rectificación o supresión de datos personales o la restricción de su procesamiento, de conformidad con los artículos 16, 17 y 18, así como la notificación de estas acciones a los destinatarios a quienes los datos personales fueron comunicados, de conformidad con el artículo 17 párrafo (2) y con el artículo 19; h) retirar una certificación u obligar al organismo de certificación a retirar una certificación emitida de conformidad con los artículos 42 y 43 u obligar al organismo de certificación a no emitir una certificación si los requisitos de certificación no se cumplen o ya no se cumplen;
i) imponer multas administrativas de conformidad con el artículo 83, además de o en lugar de las medidas mencionadas en este párrafo, según las circunstancias de cada caso;
j) ordenar la suspensión de los flujos de datos hacia un destinatario de un tercer país o hacia una organización internacional.
(3) Cada autoridad de control tiene todas las siguientes facultades de autorización y asesoramiento: a) ofrecer asesoramiento al operador de conformidad con el procedimiento de consulta previa a que se refiere el artículo 36;
b) emitir opiniones, por iniciativa propia o previa solicitud, al parlamento nacional, al gobierno del estado miembro o, de conformidad con el derecho interno, a otras instituciones y organismos, así como al público, sobre cualquier aspecto relacionado a la protección de datos personales;
c) autorizar el tratamiento a que se refiere el artículo 36, apartado 5, si la legislación del Estado miembro prevé dicha autorización previa;
d) emitir opinión y aprobar proyectos de códigos de conducta, de conformidad con el artículo 40, apartado 5;
e) acreditar a los organismos de certificación de conformidad con el artículo 43;
f) expedir certificaciones y aprobar criterios de certificación de conformidad con el artículo 42, apartado 5; g) adoptar las cláusulas tipo de protección de datos a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
h) autorizar las cláusulas contractuales a que se refiere el artículo 46 párrafo (3) letra (a);
i) autorizar los acuerdos administrativos a que se refiere el artículo 46 párrafo (3) letra (b); y
j) aprobar normas corporativas de obligado cumplimiento de conformidad con el artículo 47.
(4) El ejercicio de las competencias conferidas a la autoridad de control en virtud del presente artículo está sujeto a garantías adecuadas, incluidos recursos judiciales efectivos y procesos justos, previstas en el derecho de la Unión y en el derecho interno de conformidad con la Carta.
(5) Cada Estado miembro establece, mediante legislación, que su autoridad de control tiene competencia para llevar ante las autoridades judiciales casos de violación de este reglamento y,
según sea el caso, iniciar o de cualquier otro modo intervenir en procedimientos judiciales, a fin de asegurar la aplicación de las disposiciones del presente reglamento.
(6) Cada Estado miembro puede establecer en su legislación o en los hechos que su autoridad supervisora tenga poderes adicionales, además de los mencionados en los párrafos (1), (2) y (3). El ejercicio de estas facultades no afecta el eficiente funcionamiento del Capítulo VII.
Art. 59: Informes de actividad
Cada autoridad de control elaborará un informe anual sobre sus actividades, que podrá incluir una lista de los tipos de infracciones notificadas y los tipos de medidas adoptadas de conformidad con el artículo 58, apartado 2. Los informes se presentan al parlamento nacional, al gobierno y a otras autoridades designadas por la legislación nacional. Se ponen a disposición del público, de la Comisión y del comité.
CAPÍTULO VII: Cooperación y coherencia
Sección 1: Cooperación
Art. 60: Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas.
(1) La principal autoridad de supervisión coopera con las demás autoridades de supervisión interesadas, de conformidad con el presente artículo, en un intento de llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se comunicarán entre sí toda la información pertinente. (2) La autoridad de control principal podrá en cualquier momento solicitar a otras autoridades de control interesadas que se presten asistencia mutua de conformidad con el artículo 61 y podrá llevar a cabo operaciones conjuntas de conformidad con el artículo 62, en particular con vistas a realizar investigaciones o supervisar la aplicación de una medidas relativas a un operador o a una persona autorizada por el operador, establecida en otro Estado miembro.
(3) La principal autoridad de supervisión comunica sin demora la información pertinente sobre este asunto a las demás autoridades de supervisión interesadas. La autoridad de control principal transmitirá sin demora un proyecto de decisión a las demás autoridades de control interesadas para obtener su opinión y tendrá debidamente en cuenta sus opiniones.
(4) Si cualquiera de las otras autoridades de control interesadas expresa, dentro de las cuatro semanas siguientes a haber sido consultada de conformidad con el párrafo (3) de este artículo, una objeción pertinente y motivada al proyecto de decisión, la autoridad de control, el organismo principal, si no lo hace. no cumple con la objeción pertinente y motivada o considera que la objeción no es relevante o motivada, lo notificará al mecanismo de coherencia a que se refiere el artículo 63.
(5) Si pretende dar cumplimiento a la objeción pertinente y motivada, la autoridad de control principal enviará un proyecto de decisión revisado a las demás autoridades de control interesadas para obtener su opinión. Este proyecto de decisión revisado estará sujeto al procedimiento mencionado en el apartado 4 durante un período de dos semanas.
(6) En caso de que ninguna de las otras autoridades de control interesadas haya planteado objeciones al proyecto de decisión presentado por la autoridad de control principal dentro del plazo mencionado en los apartados (4) y (5), se considerará que la autoridad de control principal y las autoridades de supervisión interesadas están de acuerdo con el respectivo proyecto de decisión, que pasa a ser vinculante para ellas.
(7) La autoridad de control principal adopta la decisión y una notificación a la oficina principal o a la oficina única del operador o a la persona autorizada por el operador, según sea el caso, e informa a las demás autoridades de control interesadas y al comité sobre la decisión en cuestión, incluyendo un resumen de los elementos y motivos pertinentes. La autoridad de control ante la que se presentó la reclamación informará al reclamante de la decisión.
(8) No obstante lo dispuesto en el apartado (7), si una reclamación es rechazada o rechazada, la autoridad de control ante la que se presentó la reclamación adopta la decisión, notifica al reclamante e informa al operador al respecto.
(9) Si la autoridad de control principal y las autoridades de control interesadas acuerdan rechazar o rechazar determinadas partes de una reclamación y proceder con otras partes de la reclamación respectiva, se adoptará una decisión separada para cada una de estas partes. La autoridad de control principal adopta la decisión para el interesado con acciones relacionadas con el operador, notificándolo a la sede
sede principal o única del operador o de la persona autorizada por el operador en el territorio del Estado miembro de que se trate e informa de ello al reclamante, mientras que la autoridad de control del reclamante adopta en nombre del interesado la decisión de denegar o rechazar la solicitud. la respectiva denuncia, se notifica al denunciante e informa al operador o a la persona autorizada por el operador sobre la misma.
(10) Tras la notificación de la decisión de la autoridad de control principal de conformidad con los apartados (7) y (9), el operador o la persona autorizada por el operador tomará las medidas necesarias para garantizar que las actividades de procesamiento se ajusten a la decisión. en todos sus locales en la Unión. El operador o la persona autorizada por el operador notifica las medidas adoptadas para dar cumplimiento a la decisión de la autoridad de control principal, que informa a las demás autoridades de control interesadas.
(11) Si, en circunstancias excepcionales, una autoridad de control interesada tiene motivos para considerar que existe una necesidad urgente de actuar para proteger los intereses de las personas interesadas, se aplicará el procedimiento de emergencia previsto en el artículo 66.
(12) La autoridad de control principal y las demás autoridades de control interesadas se proporcionarán mutuamente la información solicitada con arreglo al presente artículo, por vía electrónica, utilizando un formulario estándar.
Artículo 61: Asistencia mutua
(1) Las autoridades de supervisión se proporcionarán mutuamente información y asistencia pertinentes para aplicar el presente Reglamento de forma coherente y establecer medidas de cooperación eficaces entre ellas. La asistencia mutua se refiere, en particular, a solicitudes de información y medidas de vigilancia, como solicitudes de autorizaciones y consultas previas, inspecciones e investigaciones.
(2) Cada autoridad de control tomará todas las medidas apropiadas necesarias para responder a una solicitud de otra autoridad de control, sin demoras indebidas y a más tardar en el plazo de un mes a partir de la fecha de recepción de la solicitud. Estas medidas podrán incluir, en particular, la transmisión de información pertinente sobre la realización de una investigación.
(3) Las solicitudes de asistencia incluyen toda la información necesaria, incluido el propósito de la solicitud y los motivos subyacentes. La información objeto del intercambio se utiliza únicamente para el fin para el que fue solicitada.
(4) La autoridad de control requerida no puede negarse a cumplir con la solicitud, a menos que:
a) no tiene competencia respecto del objeto de la solicitud o de las medidas que se le solicita ejecutar; o
b) cumplir con la solicitud violaría el presente reglamento o el derecho de la Unión o el derecho interno al que se rige la autoridad de control que recibió la solicitud.
(5) La autoridad de control a la que se dirigió la solicitud informa a la autoridad de control que presentó la solicitud sobre los resultados o, en su caso, los avances realizados o las medidas adoptadas para responder a la solicitud. La autoridad de control requerida motivará cada negativa a atender la solicitud con arreglo al apartado 4.
(6) Por regla general, las autoridades de control requeridas proporcionan la información solicitada por otras autoridades de control por vía electrónica, utilizando un formulario estándar.
(7) Las autoridades de control requeridas no cobran ninguna tarifa por las acciones que realicen en base a una solicitud de asistencia mutua. Las autoridades de supervisión pueden acordar algunas normas relativas a la remuneración mutua en el caso de gastos específicos resultantes de la concesión de asistencia mutua en situaciones excepcionales.
(8) Si una autoridad de control no proporciona la información mencionada en el párrafo (5) de este artículo dentro del mes siguiente a la recepción de la solicitud de otra autoridad de control, esta última podrá adoptar una medida provisional en el territorio de su propio Estado miembro. de conformidad con el artículo 55, apartado 1. En este caso, se considera satisfecha la necesidad urgente de actuar conforme al artículo 66, apartado 1, y requiere una decisión vinculante urgente del comité de conformidad con el artículo 66, apartado 2.
(9) La comisión, mediante un acto de ejecución, podrá especificar la forma y los procedimientos para la asistencia mutua mencionada en este artículo, así como los métodos de intercambio electrónico de información entre las autoridades de control y entre las autoridades de control y el comité, en especial
el formulario estándar mencionado en el párrafo (6) de este artículo. Los respectivos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
Art. 62: Operaciones conjuntas de las autoridades de control.
(1) Según sea el caso, las autoridades de control llevan a cabo operaciones conjuntas, incluidas investigaciones conjuntas y medidas coercitivas conjuntas, en las que participan miembros o personal de las autoridades de control de otros Estados miembros.
(2) Si el operador o la persona autorizada por el operador tiene oficinas en varios Estados miembros o si es probable que un número significativo de interesados de varios Estados miembros se vean afectados significativamente por las operaciones de procesamiento, una autoridad de supervisión de cada uno de los respectivos Estados miembros Los estados tienen derecho a participar en operaciones conjuntas. La autoridad de control competente de conformidad con el artículo 56, apartados 1 o 4, invitará a las autoridades de control de cada uno de dichos Estados miembros a participar en dichas operaciones conjuntas y responderá sin demora a la solicitud de participación de una autoridad de control. .
(3) Una autoridad de control podrá, de conformidad con el Derecho interno y con el acuerdo de la autoridad de control del Estado miembro de origen, otorgar poderes, incluidos poderes de investigación, a miembros o personal de la autoridad de control del Estado miembro de origen implicados en operaciones conjuntas o, en la medida en que lo permita la legislación del Estado miembro de la autoridad de control del Estado miembro receptor, podrá autorizar a miembros o personal de la autoridad de control del Estado miembro de origen a ejercer sus competencias de investigación de conformidad con las legislación de ese Estado miembro de las siguientes autoridades. Estas competencias de investigación sólo podrán ejercerse bajo la coordinación y en presencia de miembros o personal de la autoridad de control del Estado miembro de acogida. Los miembros o el personal de la autoridad de control en el Estado miembro de origen están sujetos al derecho interno al que se rige la autoridad de control en el Estado miembro receptor.
(4) Si, de conformidad con el apartado 1, el personal de una autoridad de control del Estado miembro de origen lleva a cabo su actividad en otro Estado miembro, el Estado miembro receptor asume la responsabilidad de las acciones de ese personal, incluida la responsabilidad por cualquier los daños causados por los respectivos funcionarios en el curso de sus operaciones, de conformidad con la legislación del Estado miembro en cuyo territorio realicen sus operaciones.
(5) El Estado miembro en cuyo territorio se hayan producido los daños reparará dichos daños en las condiciones aplicables a los daños causados por su propio personal. El Estado miembro de origen de la autoridad de control cuyo personal causó daños a una persona en el territorio de otro Estado miembro reembolsará a este otro Estado miembro todas las cantidades que haya pagado a los derechohabientes en su nombre.
(6) Sin perjuicio del ejercicio de sus derechos frente a terceros y con excepción del párrafo (5), cada Estado miembro se abstiene, en el caso previsto en el párrafo (1), de reclamar a otro Estado miembro el reembolso de la indemnización por los daños mencionados en el párrafo (4).
(7) Si se prevé una operación conjunta y una autoridad de control no cumple, en el plazo de un mes, la obligación prevista en la segunda frase del apartado 2 de este artículo, las demás autoridades de control podrán adoptar una medida provisional. en el territorio del Estado miembro de esa autoridad, de conformidad con el artículo 55. En este caso, la necesidad urgente de actuar conforme al artículo 66, apartado 1, se considera cumplida y requiere un aviso urgente o una decisión vinculante urgente de la parte del comité, de conformidad con el artículo 66, apartado 2.
Sección 2: Garantizar la coherencia
Art. 63: El mecanismo para asegurar la coherencia
Para contribuir a la aplicación coherente del presente reglamento en toda la Unión, las autoridades de supervisión cooperarán entre sí y, en su caso, con la Comisión a través del mecanismo para garantizar la coherencia, según lo previsto en esta sección.
Art. 64: La opinión del comité
(1) El comité emite un dictamen cada vez que una autoridad de control competente se propone adoptar cualquiera de las medidas siguientes. A tal efecto, la autoridad de control competente comunicará el proyecto de decisión al comité, cuando:
a) tiene como objetivo adoptar una lista de operaciones de procesamiento que están sujetas al requisito de realizar una evaluación de impacto sobre la protección de datos, de conformidad con el artículo 35, párrafo (4);
b) de conformidad con el artículo 40, apartado 7, se refiere al cumplimiento del presente reglamento de un proyecto de código de conducta o de una modificación o ampliación de un código de conducta;
c) tiene como objetivo aprobar los requisitos para la acreditación de un organismo de conformidad con el artículo 41
párrafo (3), de un organismo de certificación de conformidad con el artículo 43, párrafo (3), o los criterios
de certificación a que se refiere el artículo 42 párrafo (5);
(a partir del 23 de mayo de 2018, Art. 64, inciso (1), letra C. del capítulo
VII, apartado 2 rectificado por el punto 18. de Rectificación de
23-mayo-2018 )
d) tiene por objeto determinar las cláusulas tipo de protección de datos a que se refiere el artículo 46, apartado 2, letra d), o el artículo 28, apartado 8;
e) tiene por objeto autorizar las cláusulas contractuales mencionadas en el artículo 46, apartado 3, letra a); o f) se refiere a la aprobación de normas corporativas de obligado cumplimiento en el sentido del artículo 47.
(2) Cualquier autoridad de control, el presidente del comité o la Comisión podrán solicitar que cualquier asunto de alcance general o que produzca efectos en más de un Estado miembro sea examinado por el comité para obtener un dictamen, especialmente si una autoridad de la supervisión competente no cumple las obligaciones en materia de asistencia mutua de conformidad con el artículo 61 o en materia de operaciones conjuntas de conformidad con el artículo 62.
(3) En los casos a que se refieren los párrafos (1) y (2), el comité emite un dictamen sobre el tema que se le presenta, siempre que no se haya emitido ya un dictamen sobre el mismo tema. El dictamen respectivo se adopta en un plazo de ocho semanas por mayoría simple de los miembros del comité. Este plazo podrá ampliarse seis semanas, teniendo en cuenta la complejidad del asunto. Respecto del proyecto de decisión mencionado en el párrafo (1) enviado a los miembros del comité de conformidad con el párrafo (5), se considerará que un miembro que no haya planteado objeciones dentro de un período razonable indicado por el presidente está de acuerdo con el proyecto de decisión.
(4) Las autoridades de supervisión y la Comisión comunicarán electrónicamente al comité, sin demora indebida, mediante un formulario normalizado, cualquier información pertinente, incluido, en su caso, un resumen de los hechos, el proyecto de decisión, los motivos que justifican necesario adoptar tales medidas, así como las opiniones de otras autoridades de supervisión interesadas.
(5) El presidente del comité informará por vía electrónica y sin demoras indebidas:
a) los miembros del comité y la Comisión sobre cualquier información relevante que les haya sido comunicada, mediante un formulario estándar. La secretaría del comité proporciona traducciones de la información pertinente, cuando es necesario; y
b) la autoridad de control mencionada, según el caso, en los párrafos (1) y (2), y la Comisión respecto del dictamen y lo publica.
(6) La autoridad de control competente a que se refiere el apartado (1) no adopta su proyecto
decisión a que se refiere el párrafo (1) dentro del plazo mencionado en el párrafo (3).
(el 23 de mayo de 2018 Art. 64, párrafo (6) del Capítulo VII, Sección 2 modificada por
(7) La autoridad de control competente a que se refiere el apartado (1) tendrá plenamente en cuenta el dictamen
artículo 19. de la Rectificación de 23 de mayo
2018)
comisión y comunicará por vía electrónica al presidente de la comisión, en el plazo de dos semanas a partir de la recepción del dictamen, si mantendrá o modificará su proyecto de decisión y, en caso necesario,
presentar el proyecto de decisión enmendado, utilizando un formulario estándar.
(el 23 de mayo de 2018 Art. 64, párrafo (7) del Capítulo VII, Sección 2 modificada por
(8) Si la autoridad de control competente a que se refiere el párrafo (1) informa al presidente del comité, dentro del plazo mencionado en el párrafo (7) de este artículo, que tiene la intención de no cumplir con la opinión del comité, en su totalidad o en parte, dando las razones pertinentes, el artículo se aplica
artículo 19. de la Rectificación de 23 de mayo
2018)
65 párrafo (1).
(a partir del 23 de mayo de 2018, Art. 64, párrafo (8) del Capítulo VII, Sección 2, modificado por el punto 19 de la Reforma del 23 de mayo de 2018)
Art. 65: Solución de controversias por el comité
(1) Para garantizar la aplicación correcta y coherente del presente Reglamento en casos individuales, el comité adopta una decisión vinculante en los siguientes casos:
a) cuando, en uno de los casos mencionados en el artículo 60, apartado 4, una autoridad de control interesada haya formulado una objeción pertinente y motivada a un proyecto de decisión de la autoridad
La supervisión principal y la autoridad de supervisión principal no respondieron a la objeción o rechazaron dicha objeción por no ser relevante o motivada. La decisión vinculante se refiere a todas las cuestiones cubiertas por la objeción pertinente y motivada, en particular a la cuestión de si este Reglamento fue
violado;
(la fecha
23-mayo-2018 Art. 65, párr. (1), letra A. del capítulo VII, apartado 2 rectificado por el punto 20. de la Corrección de errores de 23 de mayo de 2018)
b) en caso de opiniones divergentes sobre cuál de las autoridades supervisoras interesadas tiene la competencia para la oficina principal;
c) si una autoridad de control competente no solicita el dictamen del comité en los casos previstos en el apartado 64 del artículo 1 o no tiene en cuenta el dictamen del comité emitido de conformidad con el artículo 64. En este caso, cualquier autoridad de supervisión autoridad interesada o la Comisión podrán comunicar el asunto al comité.
(2) La decisión a que se refiere el apartado (1) se adoptará en el plazo de un mes a partir de la presentación del asunto, por mayoría de dos tercios de los miembros del comité. Este plazo podrá ampliarse por un mes, teniendo en cuenta la complejidad del asunto. La decisión a que se refiere el apartado 1 está motivada y dirigida a la autoridad de control principal y a todas las autoridades de control interesadas, siendo vinculante para ellas.
(3) Si el comité no pudo adoptar una decisión en los términos mencionados en el párrafo (2), adoptará su decisión dentro de dos semanas a partir de la fecha de expiración del segundo mes mencionado en el párrafo (2), por mayoría simple. de sus miembros. Si los miembros del comité tienen opiniones divergentes en proporciones iguales, la decisión se adopta mediante el voto del presidente. (4) Las autoridades de supervisión interesadas no adoptan una decisión sobre el asunto presentado al comité de conformidad con el párrafo (1) dentro de los términos mencionados en los párrafos (2) y (3).
(5) El presidente del comité notificará, sin demora indebida, la decisión a que se refiere el apartado (1) a las autoridades de supervisión interesadas. El Comité informa de ello a la Comisión. La decisión se publicará en el sitio web del comité, sin demora, una vez que la autoridad de control haya notificado la decisión final a que se refiere el apartado 6.
(6) La autoridad de control principal o, en su caso, la autoridad de control ante la cual se presentó la queja, adoptará su decisión final basada en la decisión mencionada en el párrafo (1) de este artículo, sin demoras indebidas y en un plazo no mayor a un mes a partir de la notificación por el comité de su decisión. La autoridad de control principal o, en su caso, la autoridad de control ante la que se presentó la reclamación, informará al comité de la fecha en la que se notificará su decisión final al operador o a la persona autorizada por el operador y, respectivamente, al interesado. La decisión final de las autoridades de supervisión interesadas se adopta de conformidad con las condiciones estipuladas en el artículo 60, apartados (7), (8) y (9). La decisión final se refiere a la decisión a que se refiere el párrafo (1) de este artículo y establece que la decisión a que se refiere ese párrafo se publicará en el sitio web del comité, de conformidad con el párrafo (5). La decisión a que se refiere el apartado 1) de este artículo se adjunta a la decisión final.
Art. 66: Procedimiento de emergencia
(1) En circunstancias excepcionales, cuando una autoridad de control interesada considere que existe una necesidad urgente de actuar para proteger los derechos y libertades de las personas interesadas, podrá, como excepción al mecanismo para garantizar la coherencia mencionado en el artículos 63, 64 y 65 o del procedimiento a que se refiere el artículo 60, a adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un plazo de vigencia determinado, que no podrá exceder de tres meses. La autoridad de control comunicará sin demora estas medidas y los motivos de su adopción a las demás autoridades de control interesadas, al comité y a la Comisión.
(2) Si una autoridad de control ha adoptado una medida de conformidad con el apartado 1 y considera que es necesario adoptar urgentemente medidas definitivas, podrá solicitar al comité un dictamen urgente o una decisión vinculante urgente, indicando los motivos de esta solicitud. .
(3) Cualquier autoridad de control podrá solicitar al comité un dictamen urgente o una decisión vinculante urgente, según el caso, si una autoridad de control competente no ha adoptado una medida adecuada en una situación en la que existe una necesidad urgente de actuar para proteger los derechos y libertades de las personas interesadas, indicando los motivos para solicitar tal dictamen o tal decisión, incluida la necesidad urgente de actuar.
(4) No obstante lo dispuesto en el artículo 64, apartado 3, y en el artículo 65, apartado 2, el aviso urgente o la decisión urgente vinculante a que se refieren los apartados 2) y 3) del presente artículo se adoptará en el plazo de dos semanas por mayoría simple de los miembros del comité.
Art. 67: Intercambio de información
La Comisión podrá adoptar actos de ejecución de alcance general para definir las modalidades de intercambio electrónico de información entre las autoridades de supervisión, así como entre las autoridades de supervisión y el comité, en particular el formulario estándar a que se refiere el artículo 64. adoptado de conformidad con el procedimiento de examen previsto en el apartado 93 del artículo 2.
Sección 3: Consejo Europeo de Protección de Datos
Art. 68: Comité Europeo de Protección de Datos
(1) El Comité Europeo de Protección de Datos (el "Comité") se constituye como organismo de la Unión y tiene personalidad jurídica.
(2) El comité está representado por su presidente.
(3) El Comité está compuesto por el jefe de una autoridad de control de cada Estado miembro y la Autoridad Europea de Protección de Datos o sus respectivos representantes.
(4) Si en un Estado miembro varias autoridades de control son responsables de controlar la aplicación de las disposiciones adoptadas en virtud del presente Reglamento, se nombrará un representante común de conformidad con el derecho interno del Estado miembro respectivo.
(5) La comisión tiene derecho a participar en las actividades y reuniones del comité sin tener derecho a voto. La comisión nombra un representante. El presidente del comité comunica las actividades del comité a la Comisión. (6) En los casos a que se refiere el artículo 65, la Autoridad Europea de Protección de Datos sólo tiene derecho a votar sobre las decisiones que afecten a los principios y normas aplicables a las instituciones, órganos, oficinas y agencias de la Unión que correspondan en esencia a los del presente reglamento.
Artículo 69: Independencia
(1) El comité actúa con independencia en el desempeño de sus funciones o en el ejercicio de sus competencias de conformidad con los artículos 70 y 71.
(2) Sin perjuicio de las solicitudes de la Comisión mencionadas en el artículo 70, apartados 1 y 2, el comité, en el cumplimiento de sus tareas o en el ejercicio de sus competencias, no solicita ni acepta
instrucciones de cualquier parte externa.
(el 23 de mayo de 2018, art. 69, inciso 2) de
capítulo VII, apartado 3 corregido por el punto 21. de la Corrección de 23 de mayo
2018)
Art. 70: Tareas del comité
(1) El comité garantiza la aplicación coherente del presente reglamento. A tal efecto, por propia iniciativa o, en su caso, a petición de la Comisión, el comité tendrá, en particular, las siguientes funciones:
a) vigilar y velar por la correcta aplicación del presente reglamento, en los casos previstos en los artículos 64 y 65, sin perjuicio de las funciones de las autoridades nacionales de control;
b) asesorar a la Comisión sobre cualquier aspecto relacionado con la protección de datos personales dentro de la Unión, incluida cualquier propuesta para modificar este reglamento;
c) brindar asesoramiento a la Comisión sobre el formato y procedimientos para el intercambio de información entre operadores, personas autorizadas por los operadores y autoridades de supervisión de normas corporativas obligatorias;
d) emitir directrices, recomendaciones y mejores prácticas sobre los procedimientos para eliminar enlaces a datos personales, sus copias o reproducciones disponibles para servicios de comunicaciones de acceso público, como se menciona en el artículo 17, párrafo (2);
e) examinar, por iniciativa propia, a solicitud de uno de sus miembros o a solicitud de la Comisión, cualquier cuestión relacionada con la aplicación de este reglamento y emitir lineamientos, recomendaciones y mejores prácticas para fomentar la aplicación consistente de este reglamento;
f) emitir lineamientos, recomendaciones y mejores prácticas de conformidad con este párrafo letra (e) con el fin de detallar los criterios y condiciones para las decisiones basadas en la creación de los perfiles a que se refiere el artículo 22, párrafo (2);
g) emitir directrices, recomendaciones y mejores prácticas de conformidad con la letra (e) de este párrafo para la determinación de violaciones de seguridad de datos personales y la determinación de retrasos injustificados a que se refiere el artículo 33 párrafos (1) y (2), así como en cuanto a circunstancias especiales en las que un operador o una persona autorizada por el operador tiene la obligación de notificar la violación de la seguridad de los datos personales;
h) emitir directrices, recomendaciones y buenas prácticas de conformidad con la letra (e) de este párrafo respecto de las circunstancias en las que una violación de la seguridad de los datos personales es probable que genere un alto riesgo para los derechos y libertades de las personas físicas, mencionadas en el párrafo 34 del artículo 1;
i) emitir lineamientos, recomendaciones y mejores prácticas de conformidad con la letra (e) de este párrafo con el fin de detallar los criterios y requisitos aplicables a las transferencias de datos personales con base en las reglas corporativas obligatorias que deben ser respetadas por los operadores y las que deben ser respetado por las personas autorizadas por los operadores, así como respecto de los requisitos adicionales necesarios para garantizar la protección de los datos personales de los interesados a que se refiere el artículo 47;
j) emitir lineamientos, recomendaciones y mejores prácticas de conformidad con la letra (e) de este párrafo con el fin de detallar los criterios y requisitos para las transferencias de datos personales a que se refiere el artículo 49 párrafo (1);
k) desarrollar directrices para las autoridades de control en relación con la aplicación de las medidas mencionadas en el artículo 58, apartados (1), (2) y (3) y establecer multas administrativas de conformidad con el artículo 83;
l 22. de Corrección de
23-mayo-2018 )
m) emitir directrices, recomendaciones y buenas prácticas de conformidad con la letra (e) de este párrafo con el fin de establecer procedimientos comunes de denuncia por parte de personas físicas de violaciones a este reglamento de conformidad con el artículo 54 párrafo (2);
n) fomentar el desarrollo de códigos de conducta y el establecimiento de mecanismos de certificación, así como sellos y marcas en materia de protección de datos, de conformidad con los artículos 40 y 42;
l) revisar la aplicación práctica de directrices, recomendaciones y buenas prácticas; (el 23 de mayo de 2018 Art. 70, inciso 1), letra L. del capítulo VII, apartado 3 modificado por el inciso
o) aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5, y llevar un registro público de
mecanismos de certificación y sellos y marcas de protección de datos, de conformidad con el artículo 42, apartado 8, y operadores certificados o personas autorizadas por los operadores
certificados, establecidos (establecidos) en terceros países, de conformidad con el artículo 42, apartado 7;
(el 23 de mayo de 2018 Art. 70, párrafo (1), letra O. del capítulo VII, apartado 3 rectificado por p
unctul 23. de Rectificación de
23-mayo-2018 )
p) aprobar los requisitos mencionados en el artículo 43, apartado 3, para acreditar los organismos de
certificación a que se refiere el artículo 43;
(a partir del 23 de mayo de 2018, Art. 70, inciso (1), lit.
ra P. del capítulo VII, apartado 3 rectificado por el punto 24. de Rectificación de
23-mayo-2018 )
q) presentar una opinión a la Comisión sobre los requisitos de certificación a que se refiere el artículo 43, apartado 8; r) presentar un dictamen a la Comisión sobre los pictogramas a que se refiere el artículo 12, apartado 7;
s) presentar un dictamen a la Comisión para la evaluación de la idoneidad del nivel de protección en un tercer país o una organización internacional, incluso para determinar si un tercer país, un territorio o uno o más sectores específicos de ese tercer país , o una organización internacional ya no garantiza un nivel adecuado de protección. A tal efecto, la Comisión pone a disposición del comité todos los
la documentación necesaria, incluida la correspondencia mantenida con las autoridades públicas del tercer país, respecto de ese tercer país, ese territorio o ese sector, o con la organización internacional;
t) emitir opiniones sobre los proyectos de decisiones de las autoridades de supervisión de conformidad con el mecanismo para garantizar la coherencia mencionado en el artículo 64, párrafo (1), con respecto a los asuntos presentados de conformidad con el artículo 64, párrafo (2), y emitir decisiones vinculantes de conformidad con el artículo 65, incluso en los casos mencionados en el artículo 66;
u) promover la cooperación y el intercambio bilateral y multilateral eficiente de información y mejores prácticas entre autoridades de supervisión;
v) promover programas conjuntos de formación y facilitar los intercambios de personal entre autoridades de control, así como, en su caso, con autoridades de control de terceros países u organizaciones internacionales;
w) promover el intercambio de conocimientos y documentos sobre legislación y prácticas de protección de datos con autoridades supervisoras de protección de datos en todo el mundo;
x) emitir opiniones sobre los códigos de conducta desarrollados a nivel de la Unión de conformidad con el artículo 40, apartado 9; y
y) mantener un registro electrónico accesible al público con las decisiones adoptadas por las autoridades de control y los tribunales sobre las materias tratadas dentro del mecanismo de coherencia.
(2) Si la Comisión consulta al comité, podrá indicar un plazo, teniendo en cuenta el carácter urgente del asunto.
(3) El comité transmite sus opiniones, directrices, recomendaciones y buenas prácticas a la Comisión y al comité a que se refiere el artículo 93 y los hace públicos.
(4) Si es necesario, el comité consulta a las partes interesadas y les ofrece la posibilidad de presentar observaciones en un plazo razonable. Sin perjuicio de lo dispuesto en el artículo 76, el comité publica los resultados del procedimiento de consulta.
Art. 71: Informes
(1) El comité elabora un informe anual sobre la protección de las personas físicas en lo que respecta al tratamiento en la Unión y, en su caso, en terceros países y organizaciones internacionales. El informe se pone a disposición del público y se envía al Parlamento Europeo, al Consejo y a la Comisión.
(2) El informe anual incluye una revisión de la aplicación práctica de las directrices, recomendaciones y buenas prácticas a que se refiere el artículo 70, apartado 1, letra l), así como de las decisiones obligatorias a que se refiere el artículo 65.
Art. 72: Procedimiento
(1) El Comité adopta decisiones por mayoría simple de sus miembros, salvo disposición en contrario del presente reglamento.
(2) El comité adopta su propio reglamento interno por mayoría de dos tercios de sus miembros y organiza sus propios mecanismos de funcionamiento.
Art. 73: El Presidente
(1) El comité elige de entre sus miembros, por mayoría simple, un presidente y dos vicepresidentes. (2) El mandato del presidente y de los vicepresidentes es de cinco años y sólo puede renovarse una vez.
Art. 74: Deberes del presidente
(1) El Presidente tiene las siguientes funciones:
a) convocar reuniones del comité y fijar el orden del día;
b) notificar las decisiones adoptadas por el comité, de conformidad con el artículo 65, a las principales autoridades de control y a las autoridades de control interesadas;
c) asegurar el cumplimiento oportuno de las tareas del comité, especialmente en lo que respecta al mecanismo para asegurar la coherencia a que se refiere el artículo 63.
(2) El comité establece en su reglamento y procedimiento la distribución de tareas entre el presidente y los vicepresidentes.
Art. 75: La Secretaría
(1) El comité dispone de una secretaría, que está a cargo de la Autoridad Europea de Protección de Datos.
(2) La secretaría desempeña sus funciones exclusivamente según las instrucciones del presidente del comité.
(3) El personal de la Autoridad Europea de Protección de Datos que participa en el desempeño de las tareas asignadas al comité en virtud del presente Reglamento está sujeto a líneas jerárquicas separadas en relación con el personal involucrado en el desempeño de las tareas asignadas a la Autoridad Europea de Protección de Datos. Autoridad. (4) Si procede, el comité y la Autoridad Europea de Protección de Datos redactarán y publicarán un memorando de acuerdo para la aplicación del presente artículo, que establecerá las condiciones de cooperación y se aplicará al personal de la Autoridad Europea de Protección de Datos implicado en el cumplimiento de las tareas asignadas al comité conforme al presente reglamento. (5) La secretaría proporciona apoyo analítico, administrativo y logístico al comité.
(6) La Secretaría es particularmente responsable de lo siguiente:
a) la gestión actual de las actividades del comité;
b) comunicación entre los miembros del comité, su presidente y la Comisión;
c) comunicación con otras instituciones y el público;
d) el uso de medios electrónicos para la comunicación interna y externa;
e) traducción de información relevante;
f) preparar y seguir las acciones posteriores a las reuniones del comité;
g) preparar, redactar y publicar dictámenes, decisiones relativas a la solución de conflictos entre autoridades de control y otros textos adoptados por el comité.
Art. 76: Confidencialidad
(1) Las discusiones dentro del comité son confidenciales si el comité lo considera necesario de acuerdo con el reglamento o el procedimiento.
(2) El acceso a los documentos presentados a los miembros del comité, expertos y representantes de terceros está regulado por el Reglamento (CE) n. 1049/2001 del Parlamento Europeo y del Consejo (1).
(1) Reglamento (CE) n. 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
CAPÍTULO VIII: Recursos, responsabilidad y sanciones
Art. 77: Derecho a presentar una queja ante una autoridad de control
(1) Sin perjuicio de otros recursos administrativos o judiciales, cualquier interesado tiene derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tiene su residencia habitual, en el que está situado su establecimiento. del trabajo o donde se produjo la presunta infracción, si considera que el tratamiento de datos personales que le conciernen infringe esta norma.
(2) La autoridad de control ante la cual se presentó la denuncia informará al denunciante sobre el progreso y el resultado de la denuncia, incluida la posibilidad de ejercer un recurso judicial de conformidad con el artículo 78.
Art. 78: Derecho a un recurso judicial efectivo contra una autoridad de control
(1) Sin perjuicio de otros recursos administrativos o extrajudiciales, toda persona física o jurídica tiene derecho a ejercer un recurso judicial efectivo contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.
(2) Sin perjuicio de cualquier otro recurso administrativo o no judicial, cada interesado tiene derecho a ejercer un recurso judicial efectivo si la autoridad de control competente en virtud de los artículos 55 y 56 no tramita una queja o no informa al persona interesada en el plazo de tres meses sobre la marcha o la resolución de la reclamación presentada en virtud del artículo 77.
(3) Las acciones interpuestas contra una autoridad de control se interpondrán ante los tribunales del Estado miembro en el que esté establecida la autoridad de control.
(4) Si las acciones se interponen contra una decisión de una autoridad de control que fue precedida por un dictamen o una decisión del comité dentro del mecanismo para garantizar la coherencia, la autoridad de control presentará el dictamen o decisión correspondiente al tribunal.
Art. 79: El derecho a un recurso judicial efectivo contra un operador o una persona autorizada por el operador.
(1) Sin perjuicio de cualquier recurso administrativo o no judicial disponible, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, cada interesado tiene derecho a un recurso judicial efectivo si considera que los derechos de los que se beneficia bajo este reglamento han sido vulnerados como consecuencia del procesamiento de sus datos personales sin cumplir con este reglamento.
(2) Las acciones interpuestas contra un operador o una persona autorizada por el operador se presentarán ante los tribunales del Estado miembro donde el operador o la persona autorizada por el operador tenga su sede. Alternativamente, dicha acción puede interponerse ante los tribunales del Estado miembro donde la persona interesada tiene su residencia habitual, a menos que el operador o la persona autorizada por el operador sea una autoridad pública de un Estado miembro que actúe en el ejercicio de sus funciones. poderes públicos.
Art. 80: Representación de los interesados
(1) El interesado tiene derecho a encargar un organismo, organización o asociación sin fines de lucro, que haya sido debidamente constituida de conformidad con el derecho interno, cuyos objetivos estatutarios sean de interés público, que actúe en el ámbito de la protección de los derechos. y libertades de los interesados en materia de protección de sus datos personales, de presentar la denuncia en su nombre, de ejercer en su nombre los derechos mencionados en los artículos 77, 78 y 79, así como de ejercer el derecho a recibir una indemnización mencionada en el artículo 82 en nombre del interesado, si así está previsto en el derecho interno.
(2) Los Estados miembros podrán disponer que cualquier organismo, organización o asociación a que se refiere el párrafo (1) de este artículo, independientemente del mandato de una persona interesada, tenga derecho a presentar una queja en el respectivo Estado miembro a la autoridad supervisora. autoridad que sea competente de conformidad con el artículo 77 y para ejercer los derechos mencionados en los artículos 78 y 79, si considera que los derechos de un interesado de conformidad con este reglamento han sido violados como resultado del procesamiento.
Art. 81: Suspensión del procedimiento
(1) Si un tribunal competente de un Estado miembro tiene información de que una acción con el mismo objeto está pendiente ante un tribunal de otro Estado miembro en relación con las actividades de procesamiento del mismo operador o de la misma persona autorizada por el operador, los contactos judiciales respectivos al tribunal del otro Estado miembro para confirmar la existencia de tales acciones.
(2) Cuando una acción con el mismo objeto esté pendiente ante un tribunal de otro Estado miembro respecto de las actividades de procesamiento del mismo operador o de la misma persona autorizada por el operador, cualquier otro tribunal competente distinto del tribunal inicialmente notificado podrá suspender la acción. pendiente con ella.
(3) Si tal acción se juzga en el primer tribunal, cualquier tribunal remitido posteriormente también podrá, a petición de una de las partes, declinar su competencia, siempre que dicha acción sea competencia del primer tribunal remitido y que la ley que le es aplicable permite la conexión de acciones.
Art. 82: El derecho a la indemnización y a la responsabilidad
(1) Cualquier persona que haya sufrido un daño material o moral como resultado de una violación de este reglamento tiene derecho a obtener una compensación del operador o de la persona autorizada por el operador por el daño sufrido.
(2) Cualquier operador involucrado en las operaciones de procesamiento es responsable de los daños causados por sus operaciones de procesamiento que violen este reglamento. La persona autorizada por el operador es responsable de los daños causados por el procesamiento sólo si no cumplió con las obligaciones de este reglamento que corresponden específicamente a las personas autorizadas por el operador o actuó fuera o en contradicción con las instrucciones legales del operador. .
(3) El operador o la persona autorizada por el operador quedará exonerado de responsabilidad de conformidad con el párrafo (2) si demuestra que no es responsable en modo alguno del hecho que causó el daño.
(4) Si varios operadores o varias personas autorizadas por el operador, o un operador y una persona autorizada por el operador están involucrados (involucrados) en la misma operación de procesamiento y responden, de conformidad con los párrafos (2) y (3), por cualquier daños causados por el procesamiento, cada operador o persona autorizada por el operador es responsable de la totalidad del daño para garantizar la compensación efectiva del interesado.
(5) En caso de que un operador o una persona autorizada por el operador haya pagado, de conformidad con el párrafo (4), la totalidad de las indemnizaciones por los daños causados, el operador respectivo o la persona respectiva autorizada por el operador tiene derecho solicitar a los demás operadores o a las demás personas autorizadas por el operador que intervienen en la misma operación de tratamiento la recuperación de la parte de la indemnización que les corresponda por su parte de responsabilidad por el daño, de conformidad con las condiciones establecidas en el apartado 2.
(6) Las acciones para el ejercicio del derecho a recuperar las indemnizaciones pagadas se presentan ante los tribunales competentes con base en la ley del Estado miembro a que se refiere el artículo 79, apartado 2.
Art. 83: Condiciones generales para la imposición de multas administrativas
(1) Cada autoridad de control garantiza que la imposición de multas administrativas de conformidad con este artículo por las infracciones del presente reglamento a que se refieren los párrafos (4), (5) y (6) sea, en cada caso, efectiva, proporcionada y disuasoria. .
(2) Dependiendo de las circunstancias de cada caso individual, se imponen multas administrativas además o en lugar de las medidas mencionadas en el artículo 58, apartado 2, letras (a)-(h) y (j). Cuando se toma la decisión de imponer una multa administrativa y la decisión sobre el monto de la multa administrativa en cada caso individual, se presta la debida atención a los siguientes aspectos:
a) la naturaleza, gravedad y duración de la violación, teniendo en cuenta la naturaleza, alcance o finalidad del tratamiento en cuestión, así como el número de interesados afectados y el nivel de daños sufridos por ellos;
b) si la infracción fue cometida intencionalmente o por negligencia;
c) cualquier acción adoptada por el operador o la persona autorizada por el operador para reducir el daño sufrido por el interesado;
d) el grado de responsabilidad del operador o de la persona autorizada por el operador, teniendo en cuenta las medidas técnicas y organizativas implementadas por ellos de conformidad con los artículos 25 y 32; e) cualquier infracción relevante previa cometida por el operador o la persona autorizada por el operador;
f) el grado de cooperación con la autoridad de control para remediar la infracción y mitigar los posibles efectos negativos de la misma;
g) las categorías de datos personales afectados por la violación;
h) la forma en que la infracción fue señalada a la atención de la autoridad de control, especialmente si y en qué medida el operador o la persona autorizada por el operador notificó la violación;
i) si las medidas a que se refiere el artículo 58, apartado 2, fueron ordenadas previamente contra el operador o la persona autorizada por el operador en el caso respecto del mismo objeto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta aprobados, de conformidad con el artículo 40, o a mecanismos de certificación aprobados, de conformidad con el artículo 42; y
k) cualquier otro agravante o atenuante aplicable a las circunstancias del caso, tales como beneficios económicos adquiridos o pérdidas evitadas directa o indirectamente como consecuencia de la infracción.
(3) Si un operador o una persona autorizada por el operador viola intencionalmente o por negligencia, para la misma operación de procesamiento o para operaciones de procesamiento relacionadas, varias disposiciones de este reglamento, el monto total de la multa administrativa no puede exceder el monto previsto para la infracción más grave.
(4) Por violaciones de las siguientes disposiciones, de conformidad con el párrafo (2), multas administrativas de hasta 10 de euros o, en el caso de una empresa, hasta el 000% de la cifra de
negocio anual total a nivel mundial correspondiente al ejercicio anterior, teniendo en cuenta el valor más alto:
a) las obligaciones del operador y de la persona autorizada por el operador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43;
b) las obligaciones del organismo de certificación de conformidad con los artículos 42 y 43;
c) las obligaciones del organismo de control de conformidad con el artículo 41, apartado 4.
(5) Por violaciones de las siguientes disposiciones, de conformidad con el párrafo (2), multas administrativas de hasta 20 de euros o, en el caso de una empresa, hasta el 000% del volumen de negocios anual total mundial correspondiente al ejercicio financiero anterior. se aplican , teniendo en cuenta el valor más alto:
a) los principios básicos del tratamiento, incluidas las condiciones relativas al consentimiento, de conformidad con los artículos 5, 6, 7 y 9;
b) los derechos de las personas interesadas de conformidad con los artículos 12 a 22;
c) transferencias de datos personales a un destinatario de un tercer país o de una organización internacional, de conformidad con los artículos 44 a 49;
d) cualquier obligación derivada de la legislación nacional adoptada conforme al Capítulo IX;
e) el incumplimiento de una orden o de una limitación temporal o definitiva del tratamiento, o de la suspensión de los flujos de datos, dictada por la autoridad de control de conformidad con el artículo 58, apartado 2, o la falta de concesión de acceso, en violación del artículo 58, apartado 1 ( XNUMX).
(6) Se aplicarán multas administrativas de hasta 58 EUR de conformidad con el párrafo (2) de este artículo por la violación de una orden emitida por la autoridad de control de conformidad con el artículo 2, párrafo (20) o, en el caso de una empresa, hasta el 000% del total anual de la facturación mundial correspondiente al ejercicio anterior, teniendo en cuenta el valor más alto. (000) Sin perjuicio de las facultades correctivas de las autoridades de control mencionadas en el artículo 4, apartado 7, cada Estado miembro podrá establecer normas para establecer si, y en qué medida, se pueden imponer multas administrativas a las autoridades y organismos públicos establecidos en el Estado miembro respectivo.
(8) El ejercicio por la autoridad de control de las competencias que le confiere el presente artículo se realiza a condición de que existan garantías procesales adecuadas de conformidad con el Derecho de la Unión y el Derecho interno, incluidos los recursos judiciales efectivos y el derecho a un juicio justo.
(9) Si el ordenamiento jurídico del Estado miembro no prevé multas administrativas, este artículo podrá aplicarse de manera que la multa sea iniciada por la autoridad de control competente e impuesta por los tribunales nacionales competentes, garantizando, al mismo tiempo, la hecho de que estos recursos son efectivos y tienen un efecto equivalente al de las multas administrativas impuestas por las autoridades de control. En todo caso, las multas impuestas deberán ser efectivas, proporcionadas y disuasorias. Los respectivos Estados miembros deberán informar a la Comisión de las disposiciones de derecho interno que adopten de conformidad con este párrafo antes del 25 de mayo de 2018, así como, sin demora, de cualquier acto legislativo modificatorio o cualquier modificación posterior del mismo.
Art. 84: Sanciones
(el 29 de diciembre de 2017 se relacionó el Art. 84 del Capítulo VIII con el Reglamento 2226/30 de noviembre de 2017)
(1) Los Estados miembros establecerán las normas sobre otras sanciones aplicables en caso de infracción del presente Reglamento, en particular para las infracciones que no estén sujetas a multas administrativas con arreglo al artículo 83, y adoptarán todas las medidas necesarias para garantizar su aplicación. Las sanciones respectivas son efectivas, proporcionadas y disuasorias.
(2) Cada Estado miembro informa a la Comisión sobre las disposiciones de derecho interno que adopte de conformidad con el párrafo (1) hasta el 25 de mayo de 2018, así como, sin demora, sobre cualquier modificación posterior de las mismas.
CAPÍTULO IX: Disposiciones relativas a situaciones específicas de tratamiento
Art. 85: Tratamiento y libertad de expresión e información
(1) A través del derecho interno, los Estados miembros garantizan un equilibrio entre el derecho a la protección de datos personales en virtud del presente Reglamento y el derecho a la libertad de expresión y
de información, incluido el procesamiento con fines periodísticos o con fines de expresión académica, artística o literaria.
(2) Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros prevén exenciones o derogaciones de las disposiciones del capítulo II (principios), del capítulo III (derechos del interesado ), del capítulo IV (el operador y la persona autorizada por el operador), del capítulo V (transferencia de datos personales a terceros países u organizaciones internacionales), del capítulo VI (autoridades de control independientes), del capítulo VII (cooperación y coherencia) y del capítulo IX (situaciones específicas del tratamiento de datos) si son necesarios para garantizar un equilibrio entre el derecho a la protección de datos personales y la libertad de expresión e información.
(3) Cada Estado miembro informa a la Comisión sobre las disposiciones de derecho interno que ha adoptado de conformidad con el párrafo (2), así como, sin demora, sobre cualquier acto legislativo que modifique o cualquier modificación posterior del mismo.
Art. 86: Tramitación y acceso público a los documentos oficiales
Los datos personales procedentes de documentos oficiales en posesión de una autoridad pública o de un organismo público o privado para el desempeño de una tarea que sirva al interés público podrán ser divulgados por dicha autoridad u organismo de conformidad con el Derecho de la Unión o con el derecho interno en virtud del cual la autoridad o del organismo, con el fin de establecer un equilibrio entre el acceso público a los documentos oficiales y el derecho a la protección de datos personales previsto en este reglamento.
Art. 87: Tramitación de un número de identificación nacional
Los Estados miembros podrán detallar con más detalle las condiciones específicas para el procesamiento de un número de identificación nacional o cualquier otro identificador con aplicabilidad general. En este caso, el número de identificación nacional o cualquier otro identificador de aplicabilidad general se utilizará únicamente sobre la base de garantías adecuadas para los derechos y libertades de la persona interesada en virtud del presente Reglamento.
rt. 88: Procesamiento en el contexto del empleo
(1) Por ley o mediante convenios colectivos, los Estados miembros pueden establecer normas más detalladas para garantizar la protección de los derechos y libertades en relación con el procesamiento de datos personales de los empleados en el contexto del empleo, especialmente con fines de contratación, del cumplimiento de las cláusulas del contrato de trabajo, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenios colectivos, de gestión, planificación y organización del trabajo, de igualdad y diversidad en el lugar de trabajo, de garantizar la salud y la seguridad en el trabajo, de proteger propiedad del empleador o del cliente, así como para el ejercicio y disfrute, individual o colectivamente, de los derechos y beneficios relacionados con el empleo, así como para la terminación de las relaciones laborales.
(2) Estas normas incluyen medidas apropiadas y específicas para garantizar la dignidad humana, los intereses legítimos y los derechos fundamentales de las personas interesadas, especialmente en lo que respecta a la transparencia del procesamiento, la transferencia de datos personales dentro de un grupo de empresas o un grupo de empresas que participan en una actividad económica común y sistemas de seguimiento en el lugar de trabajo.
(3) Cada Estado miembro informa a la Comisión sobre las disposiciones de derecho interno que adopte de conformidad con el párrafo (1) hasta el 25 de mayo de 2018, así como, sin demora, sobre cualquier modificación posterior de las mismas.
Art. 89: Garantías y renuncias respecto del procesamiento con fines de archivo de interés público, con fines de investigación científica o histórica o con fines estadísticos.
(1) El tratamiento con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos se realiza bajo la condición de que existan garantías adecuadas, de conformidad con el presente Reglamento, para los derechos y libertades de las personas interesadas. Las respectivas garantías aseguran que se han establecido las medidas técnicas y organizativas necesarias para garantizar, en particular, el cumplimiento del principio de minimización de datos. Estas medidas podrán incluir la seudonimización, siempre que de esta forma se cumplan las finalidades respectivas. Cuando las finalidades respectivas puedan cumplirse mediante un tratamiento posterior que no permita o ya no permita la identificación de las personas interesadas, las finalidades respectivas se cumplirán de esta manera.
(2) En caso de que los datos personales se procesen con fines de investigación científica o histórica o con fines estadísticos, el derecho de la Unión o el derecho interno podrán prever exenciones de los derechos mencionados en los artículos 15, 16, 18 y 21, con sujeción a las condiciones y garantías previstas en el párrafo (1) de este artículo, en la medida en que los respectivos derechos sean de tal naturaleza que hagan imposible o afecten gravemente el logro de los objetivos específicos, y las respectivas derogaciones sean necesarias para el cumplimiento de estos objetivos.
(3) Si los datos personales se procesan con fines de archivo en interés público, el derecho de la Unión o el derecho interno podrán prever exenciones de los derechos mencionados en los artículos 15, 16, 18, 19, 20 y 21, con sujeción a las condiciones y garantías previstas. en el párrafo (1) de este artículo, en la medida en que los derechos respectivos sean de tal naturaleza que hagan imposible o afecten gravemente el logro de los objetivos específicos, y las respectivas derogaciones sean necesarias para el cumplimiento de estos objetivos.
(4) Si el procesamiento mencionado en los párrafos (2) y (3) sirve al mismo tiempo para otro propósito, las excepciones se aplicarán únicamente al procesamiento para los fines mencionados en los respectivos párrafos.
Art. 90: Obligaciones en materia de confidencialidad
(1) Los Estados miembros podrán adoptar normas específicas para establecer las competencias de las autoridades de control, previstas en el artículo 58, apartado 1, letras e) y f), en relación con los operadores o las personas autorizadas por los operadores que, con arreglo al Derecho de la Unión o de derecho interno o bajo las normas establecidas por los organismos nacionales competentes, tienen la obligación de guardar secreto profesional u otras obligaciones equivalentes de confidencialidad, si esto es necesario y proporcionado para establecer un equilibrio entre el derecho a la protección de los datos personales y la obligación de mantener la confidencialidad. Las normas respectivas se aplican únicamente con respecto a los datos personales que el operador o la persona autorizada por el operador recibió como resultado de o en el contexto de una actividad que cae bajo esta obligación de confidencialidad. (2) Cada Estado miembro notificará a la Comisión las normas adoptadas de conformidad con el párrafo (1) antes del 25 de mayo de 2018, así como, sin demora, cualquier modificación posterior de las mismas.
Art. 91: Normas vigentes en materia de protección de datos para iglesias y asociaciones religiosas
(1) Si en un Estado miembro las iglesias y asociaciones o comunidades religiosas aplican, en la fecha de entrada en vigor del presente Reglamento, un conjunto completo de normas para la protección de las personas físicas en materia de tratamiento, estas normas podrán seguir aplicándose. siempre que estén alineados con este reglamento.
(2) Las iglesias y asociaciones religiosas que apliquen un conjunto integral de reglas de conformidad con el párrafo (1) de este artículo están sujetas a la supervisión de una autoridad supervisora independiente que podrá ser especificada, siempre que cumplan con las condiciones establecidas en el Capítulo VI de este reglamento.
CAPÍTULO X: Actos delegados y actos de ejecución
Art. 92: Ejercicio de la delegación
(1) La competencia para adoptar actos delegados se confiere a la Comisión en las condiciones previstas en el presente artículo.
(2) La delegación de poderes prevista en el artículo 12, apartado 8, y en el artículo 43, apartado 8, se confiere a la Comisión por un período indefinido a partir del 24 de mayo de 2016.
(3) La delegación de poderes a que se refiere el artículo 12, apartado 8, y el artículo 43, apartado 8, podrá ser revocada en cualquier momento por el Parlamento Europeo o el Consejo. La decisión de revocación pone fin a la delegación de poderes especificada en la decisión respectiva. La decisión surtirá efecto a partir del día siguiente de su publicación en el Diario Oficial de la Unión Europea o a partir de una fecha posterior mencionada en la decisión. La decisión no afectará a la validez de los actos delegados que ya estén en vigor.
(4) Tan pronto como adopte un acto delegado, la Comisión lo notificará simultáneamente al Parlamento Europeo y al Consejo.
(5) Un acto delegado adoptado de conformidad con el artículo 12, apartado 8, y el artículo 43, apartado 8, entrará en vigor únicamente si ni el Parlamento Europeo ni el Consejo han planteado objeciones en el plazo de tres meses a partir de su notificación al Parlamento Europeo y a la Consejo, o en
si, antes de la expiración del plazo respectivo, el Parlamento Europeo y el Consejo han informado a la Comisión que no plantearán objeciones. El plazo respectivo se prorrogará por tres meses a iniciativa del Parlamento Europeo o del Consejo.
Art. 93: Procedimiento de comité
(1) La comisión está asistida por un comité. El comité respectivo es un comité en el sentido del Reglamento (UE) no. 182/2011.
(2) Si se hace referencia a este apartado, el artículo 5 del Reglamento (UE) núm. 182/2011.
(3) Si se hace referencia a este apartado, el artículo 8 del Reglamento (UE) núm. 182/2011 en relación con el artículo 5 de dicho reglamento.
CAPÍTULO XI: Disposiciones finales
Art. 94: Derogación de la Directiva 95/46/CE
(1) Queda derogada la Decisión 95/46/CE con efectos a partir del 25 de mayo de 2018.
(2) Las referencias a la Directiva derogada se interpretarán como referencias al presente Reglamento. Las referencias al Grupo de Trabajo para la protección de las personas físicas en lo que respecta al tratamiento de datos personales establecido por el artículo 29 de la Directiva 95/46/CE se interpretan como referencias al Comité Europeo de Protección de Datos establecido por este reglamento.
Art. 95: Relación con la Directiva 2002/58/CE
El presente reglamento no impone obligaciones adicionales a las personas físicas o jurídicas en relación con el tratamiento relacionado con la prestación de servicios de comunicaciones electrónicas destinados al público en redes públicas de comunicaciones de la Unión, en cuanto a los aspectos para los que tienen obligaciones específicas con la mismo objetivo previsto en la Directiva 2002/58/CE.
Art. 96: Relación con acuerdos previamente celebrados
Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales, que fueron celebrados por los estados miembros antes del 24 de mayo de 2016 y que sean conformes con el derecho de la Unión aplicable antes de esa fecha, permanecerán en vigor hasta que sean modificados, sustituidos. o revocada.
Art. 97: Informes de la Comisión
(1) Hasta el 25 de mayo de 2020 y, posteriormente, cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente reglamento. Los informes se hacen públicos.
(2) En el contexto de las evaluaciones y revisiones a que se refiere el apartado (1), la Comisión examina en particular la aplicación y el funcionamiento de:
a) el capítulo V, relativo a la transferencia de datos personales a terceros países u organizaciones internacionales, teniendo en cuenta, en particular, las decisiones adoptadas con arreglo al artículo 45, apartado 3, del presente Reglamento y las decisiones adoptadas con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE;
b) el capítulo VII relativo a la cooperación y la coherencia.
(3) A efectos del apartado (1), la Comisión podrá solicitar información a los Estados miembros y a las autoridades de supervisión.
(4) Al llevar a cabo las evaluaciones y revisiones a que se refieren los apartados (1) y (2), la Comisión tendrá en cuenta las posiciones y conclusiones del Parlamento Europeo, el Consejo, así como otros organismos o fuentes pertinentes.
(5) La Comisión presentará, en caso necesario, propuestas adecuadas para modificar el presente Reglamento, teniendo especialmente en cuenta la evolución de las tecnologías de la información y el progreso de la sociedad de la información.
Art. 98: Revisión de otros actos jurídicos de la Unión en materia de protección de datos.
Si es necesario, la Comisión presenta propuestas legislativas para modificar otros actos jurídicos de la Unión en materia de protección de datos personales, con el fin de garantizar una protección uniforme y coherente de las personas físicas en términos de procesamiento. Se trata, en particular, de las normas relativas a la protección de las personas físicas en términos de tratamiento por parte de las instituciones, órganos, oficinas y agencias de la Unión, así como de las normas relativas a la libre circulación de estos datos.
Art. 99: Entrada en vigor y aplicación
(1) El presente Reglamento entrará en vigor el vigésimo día a partir de la fecha de su publicación en el Diario Oficial de la Unión Europea.
(2) Este reglamento se aplica a partir del 25 de mayo de 2018.
Este reglamento es obligatorio en todos sus elementos y se aplica directamente en todos los estados miembros.
- **** -
Hecho en Bruselas, el 27 de abril de 2016.
JA HENNIS-PLASSCHAERT
Publicado en el Diario Oficial número 119L del 4 de mayo de 2016
Por el Parlamento Europeo el Presidente
M SCHULZ
Por el Consejo el Presidente
