Category Archives: Directiva

10Ago/16

Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo de 27 de abril de 2016

DIRECTIVA (UE) 2016/681 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 82, apartado 1, letra d), y su artículo 87, apartado 2, letra a),

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de texto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo ( 1 ),

Previa consulta al Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario ( 2 ),

Considerando lo siguiente:

(1) El 6 de noviembre de 2007, la Comisión adoptó la propuesta de Decisión marco del Consejo sobre utilización de datos del registro de nombres de los pasajeros (Passenger Name Record — PNR) con fines policiales. No obstante, al entrar en vigor el Tratado de Lisboa el 1 de diciembre de 2009, la propuesta de la Comisión, que en esta fecha todavía no había sido aprobada por el Consejo, quedó obsoleta.

(2) El «Programa de Estocolmo: una Europa abierta y segura que sirva y proteja al ciudadano»

( 3 ) insta a la Comisión a presentar una propuesta sobre la utilización de datos PNR para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves. (3) La Comisión presentó una serie de elementos esenciales de la política de la Unión en esta materia en su Comunicación de 21 de septiembre de 2010 «Sobre el enfoque global de las transferencias de datos de los registros de nombres de los pasajeros (PNR) a los terceros países». (4) La Directiva 2004/82/CE del Consejo

( 4 ), regula la comunicación previa por los transportistas aéreos a las autoridades nacionales competentes de información anticipada sobre los pasajeros (datos API, por sus siglas en inglés «advance passenger information») con objeto de mejorar los controles fronterizos y combatir la inmigración ilegal.

(5) Son objetivos de la presente Directiva, entre otras cosas, garantizar la seguridad, proteger la vida y la seguridad de los ciudadanos y crear un marco jurídico para la protección de los datos PNR en lo que respecta a su tratamiento por las autoridades competentes.

(6) El uso eficaz de los datos PNR, por ejemplo comparando los datos PNR con diversas bases de datos sobre personas y objetos buscados, es necesario para, prevenir, detectar, investigar y enjuiciar de modo eficaz delitos de terrorismo y delitos graves, reforzando así la seguridad interior, para reunir pruebas y, en su caso, descubrir a los cómplices de los delincuentes y desmantelar redes delictivas.

(7) La evaluación de los datos PNR permite la identificación de personas no sospechosas de estar implicadas en delitos de terrorismo o en delitos graves antes de que un análisis de sus datos PNR indique que puedan estar implicadas en los

( 1 ) DO C 218 de 23.7.2011, p. 107.

( 2 ) Posición del Parlamento Europeo de 14 de abril de 2016 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 21 de abril de 2016.

( 3 ) DO C 115 de 4.5.2010, p. 1.

( 4 ) Directiva 2004/82/CE del Consejo, de 29 de abril de 2004, sobre la obligación de los transportistas de comunicar los datos de las personas transportadas (DO L 261 de 6.8.2004, p. 24).

mismos, y deban ser objeto de investigación adicional por parte de las autoridades competentes. Mediante la utilización de datos PNR es posible responder a la amenaza de delitos de terrorismo y delitos graves desde una perspectiva distinta del tratamiento de otras categorías de datos personales. Sin embargo, para garantizar que el tratamiento de datos se limite a lo necesario, el establecimiento y la aplicación de criterios de evaluación debe limitarse a los delitos de terrorismo y a la delincuencia grave para las que es pertinente el uso de esos criterios. Deben definirse, por otra parte, los criterios de evaluación de tal manera que el sistema señale al menor número posible de personas inocentes.

(8) Las compañías aéreas ya recogen y tratan datos PNR de sus pasajeros para sus fines comerciales propios. La presente Directiva no debe imponer ninguna obligación a las compañías aéreas de recoger o almacenar datos adicionales de los pasajeros ni a los pasajeros de facilitar a las compañías aéreas datos adicionales a los ya previstos.

(9) Algunas compañías aéreas almacenan los datos API que recogen como parte de los datos PNR, mientras que otras no lo hacen. Utilizar los datos PNR junto con los datos API representa un valor añadido para ayudar a los Estados miembros a verificar la identidad de una persona, reforzando así el valor policial de ese resultado y reduciendo al mínimo el riesgo de realizar controles e investigaciones de personas inocentes. Es, pues, importante asegurarse de que, cuando las compañías aéreas recojan datos API, los transfieran, con independencia de que conserven o no dichos datos por otros medios técnicos que los datos PNR.

(10) Para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, es fundamental que todos los Estados miembros introduzcan disposiciones que impongan a las compañías aéreas que realizan vuelos exteriores de la UE, la obligación de transferir todos los datos PNR que recojan, incluidos los datos API. El Estado miembro debe tener la posibilidad también de ampliar esa obligación a las compañías aéreas que realizan vuelos interiores de la UE. Estas disposiciones se deben entender sin perjuicio de la Directiva 2004/82/CE.

(11) El tratamiento de datos personales debe ser proporcional a los objetivos específicos de seguridad que persigue la presente Directiva.

(12) La definición de delitos de terrorismo que se aplica en la presente Directiva deberá ser la misma que la de la Decisión marco 2002/475/JAI del Consejo ( 1 ). La definición de delitos graves deberá englobar las categorías de delito enumeradas en el anexo II de la presente Directiva.

(13) Los datos PNR deberán transmitirse a una unidad única de información sobre los pasajeros («UIP») designada en el Estado miembro de que se trate, a fin de garantizar la claridad y reducir los costes de las compañías aéreas. La UIP puede disponer de distintas sucursales dentro de un Estado miembro, y los Estados miembros también podrán establecer conjuntamente una UIP. Los Estados miembros deberán intercambiar mutuamente la información a través de las correspondientes redes de intercambio de información para facilitar dicho intercambio y garantizar la interoperabilidad.

(14) Los Estados miembros deberán sufragar los costes del uso, la conservación y el intercambio de los datos PNR.

(15) Las listas de datos PNR que deba obtener una UIP deberá elaborarse con el objetivo de reflejar las legítimas necesidades de las autoridades públicas para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves, mejorando así la seguridad interior en la Unión y la protección de los derechos fundamentales y, en particular, el derecho a la intimidad y la protección de datos personales. Para ello se deben aplicar exigencias elevadas, conforme a la Carta de los Derechos Fundamentales de la Unión Europea («la Carta»), el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal («Convenio nº 108») y el Convenio para la protección de los derechos humanos y de las libertades fundamentales («el CEDH»). Dichas listas no deben basarse en el origen racial o étnico, religión o convicciones, opiniones políticas o de cualquier otro tipo, la pertenencia a un sindicato, la salud, vida u orientación sexual. Los datos PNR solo deben contener la información detallada sobre las reservas e itinerarios de viaje que permita a las autoridades competentes identificar a los pasajeros por vía aérea que representan una amenaza para la seguridad interior.

(16) En la actualidad se dispone de dos métodos de transferencia de datos: el método de extracción, en el que las autoridades competentes del Estado miembro que solicita los datos PNR pueden acceder al sistema de reserva de la compañía aérea y obtener («extraer») una copia de los datos PNR deseados, y el método de transmisión, en el que las compañías aéreas envían («transmiten») los datos PNR a la autoridad solicitante, lo que permite a las compañías aéreas mantener el control de los datos suministrados. Se considera que el «método de transmisión» ofrece un nivel mayor de protección de los datos y que debe ser obligatorio para todas las compañías aéreas.

( 1 ) Decisión marco 2002/475/JAI del Consejo, de 13 de junio de 2002, sobre la lucha contra el terrorismo (DO L 164 de 22.6.2002, p. 3).

(17) La Comisión apoya las directrices de la Organización de Aviación Civil Internacional (OACI) sobre los datos PNR. Estas directrices deben, por ello, ser la base para adoptar los formatos de datos admitidos para la transmisión de datos PNR por las compañías aéreas a los Estados miembros. A fin de garantizar condiciones uniformes de ejecución de los formatos de datos admitidos y de los protocolos aplicables a la transferencia de datos de las compañías aéreas, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo ( 1 ).

(18) Los Estados miembros deben tomar todas las medidas necesarias para que las compañías aéreas puedan cumplir sus obligaciones con arreglo a la presente Directiva. Los Estados miembros deben imponer sanciones efectivas, proporcionadas y disuasorias, incluidas las pecuniarias, a las compañías aéreas que incumplan sus obligaciones de transmisión de datos PNR.

(19) Cada Estado miembro debe ser responsable de evaluar las posibles amenazas relacionadas con los delitos de terrorismo y los delitos graves.

(20) Tomando plenamente en consideración el derecho a la protección de datos personales y el derecho a la no discriminación, no debe tomarse ninguna decisión que pudiera tener efectos jurídicos adversos para una persona o afectarle gravemente en razón únicamente del tratamiento automatizado de datos PNR. Asimismo, con arreglo a los artículos 8 y 21 de la Carta, dichas decisiones deben evitar toda discriminación por motivos como el sexo, raza, color, orígenes étnicos o sociales, características genéticas, lengua, religión o convicciones, opiniones políticas o de cualquier otro tipo pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad, edad u orientación sexual. La Comisión debe tener también en cuenta estos principios cuando revise la aplicación de la presente Directiva.

(21) Los Estados miembros no podrán en ningún caso utilizar el resultado del tratamiento de datos PNR como razón para eludir sus obligaciones internacionales en virtud de la Convención de Ginebra sobre el Estatuto de los Refugiados de 28 de julio de 1951, modificada por el Protocolo de 31 de enero de 1967, ni para negar a los solicitantes de asilo unas vías jurídicas seguras y efectivas de acceso al territorio de la Unión con vistas a ejercer su derecho a la protección internacional.

(22) Teniendo plenamente en cuenta los principios de la jurisprudencia reciente expuesta por el Tribunal de Justicia de la Unión Europea, la aplicación de la presente Directiva debe garantizar el pleno respeto de los derechos fundamentales y el derecho a la intimidad, así como el principio de proporcionalidad. Asimismo, debe responder realmente a los objetivos de necesidad y proporcionalidad para favorecer los intereses generales reconocidos por la Unión y a la necesidad de proteger los derechos y libertades de los demás en la lucha contra el terrorismo y la delincuencia grave. La presente Directiva debe aplicarse cuando exista una justificación suficiente y deben preverse las garantías necesarias para asegurar la legalidad de cualquier tipo de almacenamiento, análisis, uso o transferencia de datos PNR.

(23) Los Estados miembros deben intercambiar y a través de Europol los datos PNR que reciban cuando ello se considere necesario para la prevención, detección, investigación o enjuiciamiento de delitos de terrorismo o delitos graves. Las UIP deben transmitir, cuando proceda y sin demora, los resultados del tratamiento de datos PNR a las de otros Estados miembros, para ulterior investigación. Las disposiciones de la presente Directiva se entienden sin perjuicio de otros instrumentos de la Unión relativos al intercambio de información entre la policía u otras autoridades policiales y las judiciales, incluida la Decisión 2009/371/JAI del Consejo ( 2 ), y la Decisión marco 2006/960/JAI ( 3 ). Este intercambio de datos PNR entre las autoridades policiales y judiciales debe regirse por las normas de cooperación policial y judicial y no socavar el alto nivel de protección de la intimidad y de los datos personales exigido por la Carta, el Convenio nº 108 y el CEDH.

(24) Debe garantizarse el intercambio seguro de información sobre datos PNR entre los Estados miembros a través de cualquiera de los canales existentes de cooperación entre las autoridades competentes de los Estados miembros, así como en particular con Europol a través de la Aplicación Segura de la red de Intercambio de Información (SIENA) de Europol.

( 1 ) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

( 2 ) Decisión 2009/371/JAI del Consejo, de 6 de abril de 2009, por la que se crea la Oficina Europea de Policía (Europol) (DO L 121 de 15.5.2009, p. 37).

( 3 ) Decisión marco 2006/960/JAI del Consejo, de 18 de diciembre de 2006, sobre la simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea (DO L 386 de 29.12.2006, p. 89).

(25) El período durante el cual deben conservarse los datos PNR debe ser el necesario y debe ser proporcional a las finalidades de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves. Dada la naturaleza de los datos y su utilización, es necesario que los datos PNR se conserven durante un período suficientemente largo para realizar análisis y utilizarlos en las investigaciones. Para evitar una utilización desproporcionada es necesario que, después del período inicial de conservación, los datos PNR se despersonalicen mediante enmascaramiento de elementos de los datos Con el fin de garantizar el más alto nivel de protección de datos, el acceso al conjunto total de datos PNR, que permiten la identificación directa del interesado, solo debe poder autorizarse en condiciones muy estrictas y limitadas tras dicho período inicial.

(26) Cuando se hayan transmitido datos PNR específicos a las autoridades competentes y estos se utilicen en el contexto de un enjuiciamiento o de investigaciones penales específicos, la conservación de dichos datos por las autoridades competentes debe regirse por el derecho nacional, con independencia de los períodos de conservación de datos fijados en la presente Directiva.

(27) En cada Estado miembro, el tratamiento de los datos PNR por la UIP y las autoridades competentes debe respetar normas de protección de datos personales previstos en el derecho nacional que sean conformes con la Decisión marco 2008/977/JAI del Consejo ( 1 ), así como los requisitos específicos de protección de datos establecidos en la presente Directiva. Las referencias a la Decisión marco 2008/977/JAI, deberán entenderse como hechas a la legislación actualmente en vigor, así como a la legislación que la sustituya.

(28) Considerando el derecho a la protección de datos personales, los derechos de los interesados relativos al tratamiento de sus datos PNR, tales como los derechos de acceso, rectificación, supresión y restricción de los datos PNR y el derecho a una indemnización y a una reparación judicial, deber ser conformes tanto con la Decisión marco 2008/977/JAI como con el alto nivel de protección brindado por la Carta y el CEDH.

(29) Teniendo en cuenta el derecho de los pasajeros a ser informados del tratamiento de sus datos personales, los Estados miembros debe garantizar que los pasajeros reciban información precisa, de fácil acceso y comprensión, sobre la recogida de datos PNR y su transferencia a la UIP, así como sus derechos como interesados.

(30) La presente Directiva se entiende sin perjuicio del derecho de la Unión y nacional relativo al principio de acceso público a los documentos oficiales.

(31) Las transferencias de datos PNR por los Estados miembros a los terceros países deber permitirse solo caso por caso y respetando plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la Decisión marco 2008/977/JAI. Para garantizar la protección de datos personales, dichas transferencias debe cumplir requisitos adicionales relativos a la finalidad de la transferencia. También deben de estar sujetas a los principios de necesidad y proporcionalidad y al elevado nivel de protección que brindan la Carta y el CEDH.

(32) La autoridad nacional de control establecida en aplicación de la Decisión marco 2008/977/JAI también debe ser responsable de asesorar sobre y vigilar la aplicación de las disposiciones adoptadas por los Estados miembros de conformidad con la presente Directiva.

(33) La presente Directiva no afecta a la posibilidad de que los Estados miembros establezcan en su derecho nacional un mecanismo para recoger y tratar los datos PNR proporcionados por operadores económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos, para los cuales recogen y tratan datos PNR, o de los transportistas que no sean los mencionados en él, siempre que ele derecho nacional de que se trate respete el derecho de la Unión.

(34) La presente Directiva se entiende sin perjuicio de las normas vigentes de la Unión sobre la forma en que se realizan los controles de fronteras ni de las normas de la Unión que rigen la entrada y salida de su territorio.

(35) Como consecuencia de las diferencias jurídicas y técnicas entre las disposiciones nacionales sobre el tratamiento de datos personales, incluidos los datos PNR, las compañías aéreas se enfrentan y se enfrentarán a requisitos diferentes en cuanto al tipo de información que deben transmitir y a las condiciones en que deben facilitársela a las autoridades nacionales competentes. Estas

( 1 ) Decisión marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO L 350 de 30.12.2008, p. 60).

diferencias pueden ir en detrimento de una cooperación efectiva entre las autoridades nacionales competentes a efectos de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves. Por ello es necesario establecer a escala de la Unión un marco legal común para la transferencia y tratamiento de datos PNR.

(36) La presente Directiva respeta los derechos fundamentales y los principios de la Carta, y en particular el derecho de protección de datos de carácter personal, el derecho a la intimidad y el derecho a la no discriminación reconocidos en los artículos 8, 7 y 21 de la misma, y debe aplicarse en consecuencia. La presente Directiva es compatible con los principios de protección de datos y sus disposiciones se ajustan a la Decisión marco 2008/977/JAI del Consejo. Además, con el fin de cumplir el principio de proporcionalidad, la presente Directiva, en determinadas materias, contiene normas de protección de datos más estrictas que la Decisión marco 2008/977/JAI.

(37) Se ha limitado en lo posible el alcance de la presente Directiva pues permite conservar los datos PNR durante un período máximo de 5 años, tras el cual los datos deberán suprimirse; dispone que los datos deben despersonalizarse mediante enmascaramiento de los elementos de los datos tras un período inicial de seis meses, y prohíbe la recogida y utilización de datos sensibles. Para garantizar la eficiencia y un alto nivel de protección de datos, se exige a los Estados miembros que garanticen que una autoridad nacional de control independiente y, en particular, un responsable de la protección de datos, sea responsable de asesorar y de supervisar el modo en que se tratan los datos PNR. Cualquier tratamiento de datos PNR deberá registrarse o documentarse a efectos de la verificación de su legalidad, de autocontrol, así como para garantizar adecuadamente la integridad y seguridad del tratamiento. Los Estados miembros también deberán asegurarse de que los pasajeros reciban una información clara y precisa sobre la recogida de datos PNR y sobre sus derechos.

(38) Dado que los objetivos de la presente Directiva, a saber, la transferencia de datos PNR por las compañías aéreas y su tratamiento a efectos de prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y la delincuencia grave, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(39) De conformidad con el artículo 3 del Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, estos Estados miembros han notificado su deseo de participar en la adopción y aplicación de la presente Directiva.

(40) De conformidad con los artículos 1 y 2 del Protocolo nº 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Directiva y no queda vinculada por la misma ni sujeta a su aplicación.

(41) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo ( 1 ), emitió su dictamen el 25 de marzo de 2011.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPÍTULO I.- Disposiciones generales

Artículo 1.- Objeto y ámbito de aplicación

1. La presente Directiva regula:

a) la transferencia por las compañías aéreas de datos del registro de nombres de los pasajeros (PNR) de vuelos exteriores de la UE;

b) el tratamiento de los datos a que se refiere la letra a), incluida su recogida, utilización y conservación por los Estados miembros, así como el intercambio de los mismos entre dichos Estados miembros.

( 1 ) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

2. Los datos PNR obtenidos con arreglo a la presente Directiva podrán tratarse únicamente con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves contemplados en el artículo 6, apartado 2, letras a), b) y c).

Artículo 2.- Aplicación de la presente Directiva a los vuelos interiores de la UE

1. En caso de que un Estado miembro decida aplicar la presente Directiva a los vuelos interiores de la UE, lo notificará por escrito a la Comisión. Cualquier Estado miembro podrá efectuar o revocar esta notificación en cualquier momento. La Comisión publicará dicha notificación y cualquier revocación de la misma en el Diario Oficial de la Unión Europea.

2. Cuando se efectúe la notificación a que se refiere el apartado 1, todas las disposiciones de la presente Directiva se aplicarán a los vuelos interiores de la UE de igual modo que si se tratara de vuelos al exterior de la UE, y a los datos PNR de vuelos interiores de la UE de igual modo que si se tratara de datos PNR de vuelos al exterior de la UE.

3. Cada Estado miembro podrá decidir aplicar la presente Directiva exclusivamente a vuelos interiores de la UE seleccionados. Al adoptar tal decisión, el Estado miembro deberá elegir los vuelos que considere necesarios a fin de perseguir los objetivos de la presente Directiva. El Estado miembro podrá decidir modificar la selección de vuelos interiores de la UE en todo momento.

Artículo 3.- Definiciones

A efectos de la presente Directiva, se entenderá por:

1) «compañía aérea»: empresa de transporte aéreo con una licencia de explotación válida o similar que le permita llevar a cabo el transporte de pasajeros por vía aérea;

2) «vuelo exterior de la UE»: cualquier vuelo, programado o no programado por una compañía aérea, procedente de un tercer país que tenga previsto aterrizar en el territorio de un Estado miembro o volar procedente del territorio de un Estado miembro y que tenga previsto aterrizar en un tercer país, incluidos en ambos casos los vuelos que hagan escala en el territorio de Estados miembros o de terceros países;

3) «vuelo interior de la UE»: cualquier vuelo, programado o no programado por una compañía aérea, procedente del territorio de un Estado miembro y que tenga previsto aterrizar en el territorio de otro u otros Estados miembros, sin escalas en el territorio de un tercer país;

4) «pasajero»: toda persona, incluidos los pasajeros en tránsito o en conexión y exceptuados los miembros de la tripulación, transportada o que vaya a ser transportada a bordo de una aeronave con el consentimiento de la compañía aérea, lo cual se manifiesta en la inclusión de la persona en la lista de pasajeros;

5) «registro de nombres de los pasajeros» o «PNR»: una relación de los requisitos de viaje impuestos a cada pasajero, que incluye toda la información necesaria para el tratamiento y el control de las reservas por parte de las compañías aéreas que las realizan y participan en el sistema PNR, por cada viaje reservado por una persona o en su nombre, ya estén contenidos en sistemas de reservas, en sistemas de control de salidas utilizado para embarcar a los pasajeros en el vuelo o en sistemas equivalentes que posean las mismas funcionalidades;

6) «sistema de reserva»: el sistema de reservas interno de la compañía aérea en el cual se recogen los datos PNR para el tratamiento de las reservas;

7) «método de transmisión»: método por el cual las compañías aéreas envían los datos PNR incluidos en el anexo I a la base de datos de la autoridad requirente;

8) «delitos de terrorismo»: los delitos con arreglo al derecho nacional a que se refieren los artículos 1 a 4 de la Decisión marco 2002/475/JAI;

9) «delitos graves»: los delitos incluidos en el anexo II que son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al derecho nacional de un Estado miembro;

10) «despersonalizar mediante enmascaramiento de elementos de los datos»: hacer invisibles para un usuario aquellos elementos de los datos que servirían para identificar directamente al interesado.

CAPÍTULO II.- Responsabilidades de los estados miembros

Artículo 4.- Unidad de Información sobre los Pasajeros

1. Cada Estado miembro establecerá o designará una autoridad competente para la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y delitos graves, o una sucursal de esa autoridad, para actuar como su Unidad de Información sobre los Pasajeros («UIP»).

2. La UIP será responsable de:

a) recoger los datos PNR de las compañías aéreas, almacenar y procesar esos datos y transferir dichos datos o el resultado de su tratamiento a las autoridades competentes a que hace mención el artículo 7;

b) intercambiar tanto los datos PNR como de los resultados de su tratamiento con las UIP de otros Estados miembros y con Europol, de conformidad con los artículos 9 y 10.

3. El personal de la UIP podrá ser enviado en comisión de servicios por las autoridades competentes. Los Estados miembros dotarán a las UIP de los recursos adecuados para que realicen su cometido.

4. Dos o más Estados miembros (los Estados miembros participantes) podrán establecer o designar una autoridad única para que actúe como su UIP. Esta UIP se establecerá en uno de los Estados miembros participantes y se considerará la UIP de todos los Estados miembros participantes. Los Estados miembros participantes acordarán conjuntamente las normas detalladas de funcionamiento de la UIP y respetarán los requisitos establecidos en la presente Directiva.

5. En el plazo de un mes desde la creación de su UIP, cada Estado miembro se lo notificará a la Comisión, y podrá modificar su notificación en cualquier momento. La Comisión publicará la notificación, y sus eventuales modificaciones, en el Diario Oficial de la Unión Europea.

Artículo 5.- Responsable de la protección de datos en la UIP

1. La UIP designará a un responsable de la protección de datos para controlar el tratamiento de los datos PNR y aplicar las garantías oportunas.

2. Los Estados miembros dotarán al responsable de la protección de datos de los medios necesarios para que desempeñe sus funciones y cometidos con arreglo al presente artículo de manera eficaz e independiente.

3. Los Estados miembros velarán por que el interesado tenga derecho a ponerse en contacto con el responsable de la protección de datos, como punto de contacto único, para todas las cuestiones relacionadas con el tratamiento de sus datos PNR.

Artículo 6.- Tratamiento de los datos PNR

1. Los datos PNR transmitidos por las compañías aéreas serán recopilados por la UIP del Estado miembro que corresponda, con arreglo a lo dispuesto en el artículo 8. Si los datos PNR transmitidos por las compañías aéreas incluyeran datos distintos de los enumerados en el anexo I, la UIP los suprimirá inmediatamente y de manera definitiva en el momento de su recepción.

2. La UIP tratará los datos PNR solo para realizar:

a) una evaluación de los pasajeros antes de su llegada o salida programada del Estado miembro, a fin de identificar a toda persona que deba ser examinada de nuevo por las autoridades competentes a que se refiere el artículo 7 y, en su caso, por Europol, de conformidad con el artículo 10, ante la posibilidad de que pudiera estar implicada en un delito de terrorismo o delito grave;

b) responder en cada caso particular, a las peticiones debidamente razonadas y con suficiente base de las autoridades competentes de que se suministren y traten datos PNR en casos específicos a efectos de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, y facilitar a las autoridades competentes o, en su caso, a Europol, los resultados de dicho tratamiento, y

c) analizar los datos PNR con el fin de actualizar o establecer nuevos criterios que deben utilizarse en las evaluaciones realizadas en virtud del apartado 3, letra b), a fin de identificar a toda persona que pueda estar implicada en un delito de terrorismo o delito grave.

3. Al realizar la evaluación a que se refiere el artículo 2, letra a), la UIP podrá:

a) comparar los datos PNR con las bases de datos pertinentes a los efectos de la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, incluidas las bases de datos sobre personas u objetos buscados o bajo alerta, de acuerdo con las normas de la Unión, internacionales y nacionales aplicables a dichas bases de datos, o

b) tratar los datos PNR con arreglo a criterios predeterminados.

4. La evaluación de los pasajeros antes de su llegada o salida programada del Estado miembro mencionado, efectuada de conformidad con los criterios predeterminados a que se refiere a que se refiere el apartado 3, la letra b), se realizará de forma no discriminatoria con arreglo a criterios de evaluación establecidos por su UIP. Estos criterios predeterminados de evaluación deben ser orientados, proporcionados y específicos. Los Estados miembros se asegurarán de que las UIP establezcan esos criterios y los revisen periódicamente, en cooperación con las autoridades competentes mencionadas en el artículo 7. Los criterios no se basarán en ningún caso en el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona.

5. Los Estados miembros velarán por que se revise individualmente, por medios no automatizados, todo resultado positivo que arroje el tratamiento automatizado de los datos PNR efectuado con arreglo al artículo 2, letra a), con el fin de comprobar si es necesario que las autoridades competentes a que hace referencia el artículo 7 emprendan una acción en virtud del derecho nacional.

6. La UIP de un Estado miembro transmitirá los datos PNR de las personas identificadas con arreglo al apartado 2, letra a), o los resultados del tratamiento de esos datos PNR a las autoridades competentes pertinentes a que hace referencia el artículo 7 del mismo Estado miembro para su ulterior examen. Dicha transmisión solo se llevará a cabo tras un análisis de cada caso y, en caso de tratamiento automatizado de los datos PNR, tras una revisión individualizada por medios no automatizados.

7. Los Estados miembros velarán por que el responsable de la protección de datos tenga acceso a todos los datos tratados por la UIP. Si el responsable de la protección de datos considera que el tratamiento de un dato cualquiera no ha sido lícito, podrá remitirlo a la autoridad nacional de control.

8. El almacenamiento, el tratamiento y análisis de los datos PNR por parte de la UIP se realizará exclusivamente en uno o varios lugares seguros, dentro del territorio de los Estados miembros.

9. Las consecuencias de las evaluaciones de los pasajeros a que se refiere la letra a) del apartado 2 del presente artículo no perjudicarán el derecho de entrada de las personas que gocen del derecho de la Unión de libre circulación en el territorio del Estado miembro en cuestión tal como se establece en la Directiva 2004/38/CE del Parlamento Europeo y del Consejo ( 1 ). Por otra parte, en caso de que se efectúen en relación con vuelos interiores de la UE entre Estados miembros a los que sea aplicable el Reglamento (CE) nº 562/2006 del Parlamento Europeo y del Consejo ( 2 ), las consecuencias de tales evaluaciones se ajustarán a dicho Reglamento.

Artículo 7.- Autoridades competentes

1. Cada Estado miembro elaborará la lista de autoridades competentes para solicitar o recibir datos PNR o el resultado del tratamiento de los mismos de las UIP, a fin de seguir examinando esa información o de tomar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo y los delitos graves.

2. Las autoridades a que se refiere el apartado 1 serán del Estado miembro competentes para la prevención, detección, investigación o enjuiciamiento de los delitos de terrorismo y delitos graves.

3. A efectos del artículo 9, apartado 3, cada Estado miembro notificará a la Comisión la lista de sus autoridades competentes a la Comisión antes del 25 de mayo de 2017, y podrá modificar su notificación en todo momento. La Comisión publicará la notificación, y sus eventuales modificaciones, en el Diario Oficial de la Unión Europea.

4. Los datos PNR y los resultados del tratamiento de dichos datos recibidos por la UIP podrán ser objeto de tratamiento posterior por las autoridades competentes de los Estados miembros únicamente con el fin específico de prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

5. El apartado 4 se entiende sin perjuicio de las facultades policiales o judiciales con arreglo al derecho nacional en el caso de que, en el curso de la acción ejercida después del tratamiento, se detecten otros delitos o indicios de delitos.

6. Las autoridades competentes no adoptarán ninguna decisión que produzca efectos jurídicos adversos para una persona o que afecte significativamente a una persona únicamente en razón del tratamiento automatizado de datos PNR. Dichas decisiones no deberán basarse en la raza o el origen étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud o la vida u orientación sexual de la persona.

Artículo 8.- Obligaciones de las compañías aéreas en relación con la transmisión de datos

1. Los Estados miembros adoptarán las medidas necesarias para garantizar que las compañías aéreas envíen, mediante el método de transmisión, los datos PNR relacionados en el anexo I, en la medida en que ya los hayan recopilado en el transcurso normal de su actividad, a la base de datos de la UIP del Estado miembro en cuyo territorio aterrizará o de cuyo territorio saldrá el vuelo. En los casos en que el código de un vuelo internacional sea compartido con una o más compañías aéreas, la obligación de transmitir los datos PNR de todos los pasajeros de dicho vuelo recaerá en la compañía aérea que explote el vuelo. Si un vuelo exterior de la UE realiza una o varias escalas en los aeropuertos de los Estados miembros, las compañías aéreas transmitirán los datos PNR de todos los pasajeros a las UIP de todos los Estados miembros interesados. Lo mismo se aplica a los vuelos interiores de la UE con una o varias escalas en aeropuertos de diversos Estados miembros, pero solo en relación con los Estados miembros que estén recogiendo datos PNR de vuelos interiores de la UE.

( 1 ) Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros por la que se modifica el Reglamento (CEE) nº 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y 93/96/CEE (DO L 158 de 30.4.2004, p. 77).

( 2 ) Reglamento (CE) nº 562/2006 del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, por el que se establece un Código comunitario de normas para el cruce de personas por las fronteras (Código de fronteras Schengen) (DO L 105 de 13.4.2006, p. 1).

2. En caso de que las compañías aéreas hayan recopilado los datos de información anticipada sobre los pasajeros (API, por sus siglas en inglés de «advance passenger information») enumerados en el punto 18 del anexo I, pero no los conserven con los mismos medios técnicos que otros datos PNR, los Estados miembros adoptarán las medidas necesarias para garantizar que las compañías aéreas envíen también esos datos, mediante el método de transmisión, a la UIP del Estado miembro a que se refiere el apartado 1. En caso de que se lleve a cabo esta transmisión, se aplicarán todas las disposiciones de la presente Directiva en relación con los mencionados datos API.

3. Las compañías aéreas transmitirán los datos PNR por medios electrónicos utilizando los protocolos y los formatos de datos comunes que deberán adoptarse conforme al procedimiento de examen a que se refiere el artículo 17, apartado 2 o, en caso de fallo técnico, por cualquier otro medio apropiado que garantice un nivel adecuado de seguridad de los datos:

a) 24 a 48 horas antes de la hora de salida programada del vuelo, e

b) inmediatamente después del cierre del vuelo, es decir, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar pasajeros.

4. Los Estados miembros permitirán a las compañías aéreas que limiten la transmisión a que se refiere el apartado 3, letra b), a actualizaciones de la transmisión a que se refiere la letra a) de dicho apartado.

5. Cuando sea necesario acceder a los datos PNR para responder a una amenaza concreta y real relacionada con delitos de terrorismo o delitos graves, las compañías aéreas, caso por caso, transmitirán los datos PNR en momentos distintos de los mencionados en el apartado 3, a petición de una UIP y de conformidad con el derecho nacional.

Artículo 9.- Intercambio de información entre Estados miembros

1. En lo que respecta a las personas identificadas por una UIP de conformidad con el artículo 6, apartado 2, los Estados miembros garantizarán que todos los datos PNR pertinentes y necesarios, o el resultado de su tratamiento, sean transmitidos por la UIP en cuestión a las unidades correspondientes de los demás Estados miembros. Las UIP de los Estados miembros receptores remitirán la información recibida, de conformidad con el artículo 6, apartado 6, a sus autoridades competentes.

2. La UIP de un Estado miembro tendrá derecho a solicitar, en caso necesario, a la UIP de cualquier otro Estado miembro que le suministre los datos PNR almacenados en la base de datos de esta última y que aún no hayan sido despersonalizados mediante enmascaramiento de elementos de los datos, de conformidad con el artículo 12, apartado 2, así como, si fuera necesario, el resultado de cualquier tratamiento de los mismos, si este ya se hubiera realizado de conformidad con el artículo 6, apartado 2, letra a). La solicitud deberá ser debidamente motivada. Podrá basarse en cualquier elemento de los datos o en una combinación de los mismos, según estime necesario la UIP solicitante en cada caso concreto para la prevención, detección, investigación o enjuiciamiento de delitos de terrorismo o delitos graves. Las UIP deberán proporcionar la información solicitada lo antes posible. En caso de que los datos solicitados hayan sido despersonalizados mediante enmascaramiento de elementos de los datos de conformidad con el artículo 12, apartado 2, la UIP únicamente deberá proporcionar los datos PNR completos cuando crea razonablemente que es necesario a los efectos a que se refiere el artículo 6, apartado 2, letra b), y solo cuando lo haya autorizado una autoridad competente conforme a lo dispuesto en el artículo 12, apartado 3, letra b).

3. Las autoridades competentes de un Estado miembro pueden solicitar directamente a la UIP de cualquier otro Estado miembro que les facilite los datos PNR almacenados en la base de datos de este último únicamente cuando sea necesario en casos de urgencia y en las condiciones establecidas en el apartado 2. Las solicitudes de las autoridades competentes deberán ser motivadas. Siempre se enviará una copia de ellas a la UIP del Estado miembro solicitante, En todos los demás casos las autoridades competentes canalizarán sus solicitudes a través de la UIP de su propio Estado miembro.

4. Excepcionalmente, cuando sea necesario acceder a los datos PNR para responder a una amenaza concreta y real relacionada con delitos de terrorismo o delitos graves, la UIP de un Estado miembro tendrá derecho a solicitar a la UIP de otro Estado miembro acceder a datos PNR, de conformidad con el artículo 8, apartado 5, y facilitarlos a la UIP solicitante.

5. El intercambio de información previsto en el presente artículo podrá realizarse utilizando cualquiera de las vías existentes de cooperación entre las autoridades competentes de los Estados miembros. Para la solicitud y el intercambio de información se utilizará la lengua aplicable a la vía de cooperación utilizada. Los Estados miembros, al efectuar sus notificaciones de conformidad con el artículo 4, apartado 5, informarán también a la Comisión de los puntos de contacto a los que se podrán enviar las solicitudes en caso de emergencia. La Comisión comunicará estos detalles a los Estados miembros.

Artículo 10.- Condiciones de acceso de Europol a los datos PNR

1. Europol tendrá derecho a solicitar datos PNR o el resultado del procesamiento de dichos datos a las UIP de los Estados miembros dentro de los límites de sus competencias y para el desempeño de sus funciones.

2. Europol podrá dirigir, caso por caso, a la UIP de cualquier Estado miembro, a través de la unidad nacional de Europol, una solicitud electrónica debidamente motivada de transmisión de datos PNR específicos o del resultado del tratamiento de los mismos. Europol podrá dirigir dicha solicitud cuando sea estrictamente necesario para apoyar y reforzar la acción de los Estados miembros a efectos de prevenir, detectar o investigar un delito de terrorismo específico o delitos graves, siempre que el delito entre dentro de las competencias de Europol de conformidad con la Decisión 2009/371/JAI. La solicitud indicará las causas razonables por las que Europol considera que la transmisión de los datos PNR o de los resultados de su tratamiento va a contribuir significativamente a prevenir, detectar o investigar la infracción penal en cuestión.

3. Europol informará al responsable de la protección de datos designado de conformidad con el artículo 28 de la Decisión 2009/371/JAI de cada uno de los intercambios de información en virtud del presente artículo.

4. El intercambio de información en virtud del presente artículo se realizará a través de SIENA y de conformidad con la Decisión 2009/371/JAI. Para la solicitud y el intercambio de información se utilizará la lengua aplicable a SIENA.

Artículo 11.- Transferencias de datos a los terceros países

1. Un Estado miembro podrá transmitir a un tercer país los datos PNR y el resultado del tratamiento de dichos datos conservados por la UIP con arreglo al artículo 12 en casos concretos y si:

a) se cumplen las condiciones establecidas en el artículo 13 de la Decisión marco 2008/977/JAI;

b) la transmisión es necesaria para los fines de la presente Directiva a que se refiere el artículo 1, apartado 2;

c) el tercer país acuerda transmitir los datos a otro tercer país únicamente si fuera estrictamente necesario para los fines de la presente Directiva a que se refiere el artículo 1, apartado 2, y solo con la autorización expresa del Estado miembro, y

d) se reúnen unas condiciones idénticas a las establecidas en el artículo 9, apartado 2.

2. No obstante lo dispuesto en el artículo 13, apartado 2 de la Decisión marco 2008/977/JAI, las transmisiones de datos PNR sin consentimiento previo del Estado miembro del que fueron obtenidos los datos, se permitirán en circunstancias excepcionales y solamente si:

a) son esenciales para responder a una amenaza específica y real relacionada con delitos de terrorismo o delitos graves de un Estado miembro o de un tercer país, y

b) el consentimiento previo no puede obtenerse a su debido tiempo.

Se informará sin demora a la autoridad responsable de dar el consentimiento y la transmisión se registrará debidamente y podrá ser objeto de una verificación posterior.

3. Los Estados miembros transmitirán datos PNR a las autoridades competentes de terceros países únicamente en condiciones acordes con la presente Directiva y exclusivamente después de asegurarse de que la utilización de los datos PNR prevista por los receptores se ajusta a dichas condiciones y garantías.

4. Se informará al responsable de la protección de datos del Estado miembro que haya transmitido los datos PNR cada vez que el Estado miembro transfiera datos PNR en virtud del presente artículo.

Artículo 12.- Período de conservación de los datos y despersonalización

1. Los Estados miembros se asegurarán de que los datos PNR proporcionados por las compañías aéreas a la UIP se conservan en una base de datos de la Unidad durante un plazo de cinco años a partir de su transmisión a la UIP del Estado miembro en cuyo territorio tenga su punto de aterrizaje u origen el vuelo.

2. Al finalizar un plazo de seis meses desde la transmisión de datos PNR mencionada en el apartado 1, todos los datos PNR deberán ser despersonalizados mediante enmascaramiento de los siguientes elementos que podrían servir para identificar directamente al pasajero al que se refieren los datos PNR:

a) nombre(s) y apellido(s), incluidos los de otros pasajeros que figuran en el PNR y número de personas que figuran en el PNR que viajan juntas;

b) dirección y datos de contacto;

c) rodos los datos sobre el pago, incluida la dirección de facturación, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el PNR, o a cualquier otra persona;

d) información sobre viajeros asiduos;

e) observaciones generales, en la medida en que contengan información que pueda servir para identificar directamente al pasajero al que se refiere el PNR, y

f) toda la API recopilada.

3. Al finalizar el período de seis meses mencionado en el apartado 2, solo se permitirá la divulgación de los datos PNR completos cuando:

a) se crea razonablemente que es necesario a los efectos establecidos en el artículo 6, apartado 2, letra b), y

b) haya sido aprobado por:

i) una autoridad judicial, u

ii) otra autoridad nacional competente para verificar si se cumplen las condiciones para la divulgación conforme al derecho nacional, con sujeción a la información y revisión a posteriori del responsable de la protección de datos de la UIP.

4. Los Estados miembros se asegurarán de que los datos PNR sean suprimidos de modo permanente al finalizar el período a que se refiere el apartado 1. Esta obligación se entenderá sin perjuicio de aquellos casos en que se hayan transferido datos PNR específicos a una autoridad competente y se estén utilizando en el marco de un asunto específico a efectos de prevenir, detectar, investigar o enjuiciar los actos de terrorismo o delitos graves, en cuyo caso la conservación de los datos por la autoridad competente se regirá por el derecho nacional.

5. Los resultados del tratamiento a que se refiere el artículo 6, apartado 2, letra a), serán conservados por laUIP únicamente durante el tiempo necesario para informar de un resultado positivo a las autoridades competentes y, de conformidad con el artículo 9, apartado 1, a las UIP de otros Estados miembros. Cuando el resultado de un tratamiento automatizado, tras un examen individual por medios no automatizados, contemplado en el artículo 6, apartado 5, arroje un resultado negativo, este se podrá almacenar para evitar falsos resultados positivos mientras los datos de base no se hayan eliminado con arreglo al apartado 4 del presente artículo.

Artículo 13.- Protección de los datos de carácter personal

1. Cada Estado miembro establecerá que, en lo que respecta al tratamiento de datos personales con arreglo a la presente Directiva, todo pasajero tendrá los mismos derechos de protección de sus datos personales, derechos de acceso, rectificación, supresión y restricción y derechos de indemnización y recurso judicial que los establecidos en el derecho de la Unión y nacional y en aplicación de los artículos 17, 18, 19 y 20 de la Decisión marco 2008/977/JAI. Se aplicarán, por lo tanto, dichos artículos.

2. Cada Estado miembro establecerá que las disposiciones adoptadas en el marco del derecho nacional en aplicación de los artículos 21 y 22 de la Decisión marco 2008/977/JAI sobre la confidencialidad del tratamiento y la seguridad de los datos se aplicarán también a todo tratamiento de datos personales con arreglo a la presente Directiva.

3. La presente Directiva se entenderá sin perjuicio de la aplicabilidad de la Directiva 95/46/CE del Parlamento Europeo y del Consejo ( 1 ) al tratamiento de datos personales por las compañías aéreas, en particular sus obligaciones de tomar las medidas técnicas y de organización adecuadas para proteger la seguridad y la confidencialidad de los datos personales.

4. Los Estados miembros prohibirán el tratamiento de datos PNR que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato, la salud, la vida sexual o la orientación sexual de una persona. En el caso de que la UIP reciba datos PNR que revelen tal información, los suprimirá inmediatamente.

5. Los Estados miembros garantizarán que las UIP conserven la documentación relativa a todos los sistemas y procedimientos de tratamiento bajo su responsabilidad. Dicha documentación constará como mínimo de los siguientes elementos:

a) el nombre y los datos de contacto de la organización y del personal de la UIP encargados del tratamiento de los datos PNR y los distintos niveles de autorización de acceso;

b) las solicitudes cursadas por las autoridades competentes y por las UIP de otros Estados miembros;

c) todas las solicitudes y transmisiones de datos PNR a un tercer país.

La UIP pondrá toda la documentación a disposición de la autoridad nacional de control a petición de esta.

6. Los Estados miembros velarán por que la UIP lleve registros de, al menos, las operaciones de tratamiento siguientes: recogida, consulta, divulgación y supresión. Los registros de consulta y divulgación mostrarán, en particular, la finalidad, la fecha y la hora de tales operaciones y, en la medida de lo posible, la identidad de la persona que consultó o divulgó los datos PNR y la identidad de los receptores de dichos datos. Los registros se utilizarán exclusivamente a efectos de verificación, de autocontrol, de garantizar la integridad de los datos y su seguridad o de auditoría. La UIP pondrá los registros a disposición de la autoridad nacional de control a petición de esta.

Dichos registros se conservarán por un período de cinco años.

7. Los Estados miembros velarán por que sus UIP apliquen las medidas y los procedimientos técnicos y organizativos adecuados para garantizar el elevado nivel de seguridad correspondiente a los riesgos que entrañen el tratamiento y las características de los datos PNR.

8. Los Estados miembros garantizarán que, cuando sea probable que una violación de los datos personales dé lugar a un elevado riesgo para la protección de estos o afecte negativamente a la intimidad del interesado, la UIP comunique, sin demora injustificada, dicha violación al interesado y a la autoridad supervisora nacional.

Artículo 14.- Sanciones

Los Estados miembros establecerán el régimen de sanciones aplicables a los incumplimientos de las disposiciones nacionales adoptadas en aplicación de la presente Directiva y adoptarán toda medida necesaria para garantizar la aplicación de estas.

En particular, los Estados miembros establecerán sanciones, incluidas las pecuniarias, contra las compañías aéreas que no transmitan datos con arreglo a lo establecido en el artículo 8, o no lo hagan en el formato exigido. Dichas sanciones deberán ser efectivas, proporcionadas y disuasorias.

( 1 ) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

Artículo 15.- Autoridad nacional de control

1. Cada Estado miembro dispondrá que la autoridad nacional de control a que se refiere el artículo 25 de la Decisión marco 2008/977/JAI sea responsable de asesorar sobre la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros de conformidad con la presente Directiva y de controlar dicha aplicación. Será aplicable el artículo 25 de la Decisión marco 2008/977/JAI.

2. Las autoridades nacionales de control realizarán las actividades a que se refiere el apartado 1 con el fin de proteger los derechos fundamentales relativos al tratamiento de los datos personales.

3. Cada autoridad nacional de control:

a) conocerá de las reclamaciones presentadas por cualquier interesado, investigará el asunto e informará al interesado de los progresos y el resultado de su reclamación en un plazo de tiempo razonable;

b) verificará la legalidad del tratamiento de los datos, realizará investigaciones, inspecciones y auditorías de conformidad con el derecho nacional, bien por propia iniciativa, bien sobre la base de la reclamación a que se refiere la letra a).

4. Cada autoridad nacional de control asesorará, previa solicitud, a cualquier interesado en el ejercicio de los derechos establecidos en las disposiciones adoptadas con arreglo a la presente Directiva.

CAPÍTULO III.- Disposiciones de aplicación

Artículo 16.- Protocolos comunes y formatos de datos admitidos

1. Todas las transmisiones de datos PNR por las compañías aéreas a las UIP a efectos de la presente Directiva se efectuarán por medios electrónicos que ofrezcan garantías suficientes en relación con las medidas de seguridad técnicas y las medidas organizativas que rigen el tratamiento de datos que se va a llevar a cabo. En caso de fallo técnico, los datos PNR podrán ser transmitidos por cualquier otro medio adecuado, siempre que se mantenga el mismo nivel de seguridad y que se cumpla íntegramente el derecho de la Unión en materia de protección de datos.

2. Un año después de la fecha de la primera adopción por la Comisión, de conformidad con el apartado 3, de los protocolos comunes y los formatos de datos admitidos, toda transmisión de datos PNR por las compañías aéreas a las UIP a efectos de la presente Directiva se efectuará electrónicamente utilizando métodos seguros de conformidad con dichos protocolos comunes. Tales protocolos serán comunes a todas las transmisiones para garantizar la seguridad de los datos PNR durante la transmisión. Los datos PNR serán transmitidos en un formato de datos admitido que garantice su legibilidad por todas las partes interesadas. Se exigirá a todas las compañías aéreas que seleccionen e indiquen a la UIP el protocolo común y el formato de datos que se proponen utilizar en sus transmisiones.

3. Se elaborará una lista de los protocolos comunes y los formatos de datos admitidos que, en caso necesario, la Comisión adaptará mediante actos de ejecución. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 17, apartado 2.

4. Será de aplicación el apartado 1 mientras no se disponga de los protocolos comunes aceptados y de los formatos de datos admitidos a que se refieren los apartados 2 y 3.

5. En el plazo de un año desde la fecha de adopción de los protocolos comunes y formatos de datos admitidos a que se hace referencia en el apartado 2, cada Estado miembro se asegurará de que se adopten las medidas técnicas necesarias para poder utilizar los protocolos comunes y formatos de datos.

Artículo 17.- Procedimiento de comité

1. La Comisión estará asistida por un comité que será un comité con arreglo al Reglamento (UE) nº 182/2011.

2. En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011.

Si el comité no emite un dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero del Reglamento (UE) nº 182/2011.

CAPÍTULO IV.- Disposiciones finales

Artículo 18.- Transposición

1. Los Estados miembros pondrán en vigor a más tardar el 25 de mayo de 2018 las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva. Informarán inmediatamente a la Comisión del texto de dichas disposiciones.

Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 19.- Revisión

1. Atendiendo a la información que le faciliten los Estados miembros, incluida la información estadística a que se refiere el artículo 20, apartado 2, la Comisión, a más tardar el 25 de mayo de 2020, realizará una revisión de todos los elementos de la presente Directiva y presentará y someterá un informe al Parlamento Europeo y al Consejo.

2. Al realizar la revisión, la Comisión prestará especial atención:

a) al cumplimiento de las normas aplicables de protección de los datos personales;

b) a la necesidad y la proporcionalidad de la recogida y del tratamiento de datos PNR para cada uno de los fines establecidos en la presente Directiva;

c) a la duración del período de conservación de datos;

d) a la eficacia del intercambio de información entre los Estados miembros, y

e) a la calidad de las evaluaciones, también con respecto a la información estadística recopilada de conformidad con el artículo 20.

3. El informe a que se refiere el apartado 1, incluirá asimismo un estudio de la necesidad, la proporcionalidad y la eficacia de la inclusión en el ámbito de aplicación de la presente Directiva, de la recogida y transmisión obligatoria de los datos PNR relativos a todos o determinados vuelos interiores de la UE. La Comisión tendrá en cuenta la experiencia adquirida por los Estados miembros, en especial por aquellos que aplican la presente Directiva a los vuelos interiores de la UE, de conformidad con el artículo 2. El informe estudiará también la necesidad de incluir en el ámbito de aplicación de la presente Directiva a agentes económicos que no sean compañías aéreas, tales como agencias de viaje y operadores turísticos que prestan servicios relacionados con los viajes, como la reserva de vuelos.

4. La Comisión presentará, en su caso, a la luz de la revisión efectuada con arreglo al presente artículo, una propuesta legislativa al Parlamento Europeo y al Consejo con vistas a la modificación de la presente Directiva.

Artículo 20.- Datos estadísticos

1. Los Estados miembros proporcionarán anualmente a la Comisión un conjunto de información estadística sobre los datos PNR comunicados a las UIP. Las estadísticas no contendrán datos personales.

2. Las estadísticas incluirán, como mínimo:

a) el número total de pasajeros cuyos datos PNR hayan sido recopilados e intercambiados;

b) el número de pasajeros identificados para un examen ulterior.

Artículo 21.- Relación con otros instrumentos

1. Los Estados miembros podrán seguir aplicando los convenios bilaterales o multilaterales o los acuerdos que mantengan entre sí sobre el intercambio de información entre las autoridades competentes, que estén en vigor el 24 de mayo de 2016, siempre que dichos acuerdos o disposiciones sean compatibles con la presente Directiva.

2. La presente Directiva se entenderá sin perjuicio de la aplicabilidad de la Directiva 95/46/CE al tratamiento de datos personales por las compañías aéreas.

3. La presente Directiva se entiende sin perjuicio de las obligaciones y compromisos de los Estados miembros o de la Unión en virtud de convenios bilaterales o multilaterales con terceros países.

Artículo 22.- Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.

Hecho en Bruselas, el 27 de abril de 2016.

Por el Parlamento Europeo El Presidente M. SCHULZ

Por el Consejo La Presidenta J.A. HENNIS-PLASSCHAERT

 

10Ago/16

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por que se deroga la Decisión Marco 2008/977/JAI del Consejo. (Diario Oficial de la Unión Europea L 119 de 4 de mayo de 2016)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,

Vista la propuesta de la Comisión Europea, Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité de las Regiones ( 1 ),

De conformidad con el procedimiento legislativo ordinario ( 2 ),

Considerando lo siguiente:

(1) La protección de las personas físicas en relación con el tratamiento de los datos de carácter personal es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(2) Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos personales. La presente Directiva pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia.

(3) La rápida evolución tecnológica y la globalización han planteado nuevos retos en el ámbito de la protección de los datos personales. Se ha incrementado de manera significativa la magnitud de la recogida y del intercambio de datos personales. La tecnología permite el tratamiento de los datos personales en una escala sin precedentes para la realización de actividades como la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales.

(4) Debe ser facilitada la libre circulación de datos personales entre las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública en el seno de la Unión y la transferencia de estos datos personales a terceros países y organizaciones internacionales, al tiempo que se garantiza un alto nivel de protección de los datos personales. Estos avances exigen el establecimiento de un marco más sólido y coherente para la protección de datos personales en la Unión Europea, que cuente con el respaldo de una ejecución estricta.

(5) La Directiva 95/46/CE del Parlamento Europeo y del Consejo ( 3 ) es de aplicación a todas las actividades relacionadas con el tratamiento de datos personales que tengan lugar en los Estados miembros, tanto en el sector público como en el privado. No se aplica, sin embargo, al tratamiento de datos personales que se efectúe «en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario», como es el caso de las actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

( 1 ) DO C 391 de 18.12.2012, p. 127.

( 2 ) Posición del Parlamento Europeo de 12 de marzo de 2014 (pendiente de publicación en el Diario Oficial) y posición del Consejo en primera lectura de 8 de abril de 2016 (pendiente de publicación en el Diario Oficial). Posición del Parlamento Europeo de 14 de abril de 2016.

( 3 ) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(6) La Decisión Marco 2008/977/JAI del Consejo ( 1 ) es de aplicación en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial. El ámbito de aplicación de dicha Decisión Marco se limita al tratamiento de los datos personales transmitidos o puestos a disposición entre los Estados miembros.

(7) Para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial, es esencial asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros. A tal efecto, el nivel de protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, debe ser equivalente en todos los Estados miembros. La protección eficaz de los datos personales en toda la Unión requiere tanto el fortalecimiento de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, como el fortalecimiento de los poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros.

(8) El artículo 16, apartado 2, del TFUE exige que el Parlamento Europeo y el Consejo establezcan las normas sobre la protección de las personas físicas respecto del tratamiento de los datos de carácter personal y sobre la libre circulación de estos datos.

(9) Sobre esa base, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo ( 2 ) establece las normas generales para la protección de las personas físicas en relación con el tratamiento de los datos personales y para garantizar la libre circulación de datos personales dentro de la Unión.

(10) En la Declaración nº 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos.

(11) Conviene por lo tanto que esos ámbitos estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre dichas autoridades competentes no solo se deben incluir autoridades públicas tales como las autoridades judiciales, la policía u otras fuerzas y cuerpos de seguridad, sino también cualquier otro organismo o entidad en que el Derecho del Estado miembro haya confiado el ejercicio de la autoridad y las competencias públicas a los efectos de la presente Directiva. Cuando dicho organismo o entidad trate datos personales con fines distintos de los previstos en la presente Directiva, se aplica el Reglamento (UE) 2016/679. Así pues, el Reglamento (UE) 2016/679 se aplica en los casos en los que un organismo o entidad recopile datos personales con otros fines y proceda a su tratamiento para el cumplimiento de una obligación jurídica a la que esté sujeto. Por ejemplo, con fines de investigación, detección o enjuiciamiento de infracciones penales, las instituciones financieras conservan determinados datos personales que ellas mismas tratan y únicamente facilitan dichos datos personales a las autoridades nacionales competentes en casos concretos y de conformidad con el Derecho del Estado miembro. Todo organismo o entidad que trate datos personales en nombre de las citadas autoridades dentro del ámbito de aplicación de la presente Directiva debe quedar obligado por un contrato u otro acto jurídico y por las disposiciones aplicables a los encargados del tratamiento con arreglo a la presente Directiva, mientras que la aplicación del Reglamento (UE) 2016/679 permanece inalterada para el tratamiento de datos personales por encargados del tratamiento fuera del ámbito de aplicación de la presente Directiva.

(12) Las actividades realizadas por la policía u otras fuerzas y cuerpos de seguridad se centran principalmente en la prevención, investigación, detección o enjuiciamiento de infracciones penales, incluidas las actuaciones policiales en las que no hay constancia de si un incidente es o no constitutivo de infracción penal. También pueden incluir el ejercicio de la autoridad mediante medidas coercitivas, como es el caso de las actuaciones policiales en manifestaciones, grandes acontecimientos deportivos y disturbios. Entre dichas actividades también figura el mantenimiento del orden público, como labor encomendada a la policía o, en su caso, a otras fuerzas y

( 1 ) Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO L 350 de 30.12.2008, p. 60).

( 2 ) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (véase la página 1 del presente Diario Oficial).

 

cuerpos de seguridad con fines de protección y prevención frente a las amenazas para la seguridad pública y para los intereses públicos fundamentales jurídicamente protegidos que puedan ser constitutivas de infracciones penales. Los Estados miembros pueden encomendar a las autoridades competentes otras funciones que no necesariamente se lleven a cabo con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, en cuyo caso el tratamiento de datos personales con estos otros fines, en la medida en que esté comprendido en el ámbito de aplicación del Derecho de la Unión, entrará dentro del ámbito de aplicación del Reglamento (UE) 2016/679.

(13) Una infracción penal en el sentido de lo dispuesto en la presente Directiva debe ser un concepto autónomo del Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»).

(14) Puesto que la presente Directiva no debe aplicarse al tratamiento de datos personales en el marco de una actividad que no esté comprendida en el ámbito de aplicación del Derecho de la Unión, no deben considerarse comprendidas en el ámbito de aplicación de la presente Directiva las actividades relacionadas con la seguridad nacional, las actividades de los servicios o unidades que traten cuestiones de seguridad nacional y las actividades de tratamiento de datos personales que lleven a cabo los Estados miembros en el ejercicio de las actividades incluidas en el ámbito de aplicación del título V, capítulo 2, del Tratado de la Unión Europea (TUE).

(15) A fin de garantizar el mismo nivel de protección de las personas físicas a través de derechos jurídicamente exigibles en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre las autoridades competentes, la presente Directiva debe establecer normas armonizadas para la protección y la libre circulación de los datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. La aproximación de las legislaciones de los Estados miembros no debe debilitar la protección de datos personales que ya se ofrece, sino que, por el contrario, debe tratar de garantizar un alto nivel de protección dentro de la Unión. No se debe impedir a los Estados miembros que ofrezcan garantías mayores que las establecidas en la presente Directiva para la protección de los derechos y libertades del interesado con respecto al tratamiento de sus datos personales por parte de las autoridades competentes.

(16) La presente Directiva se entiende sin perjuicio del principio de acceso del público a los documentos oficiales. Según el Reglamento (UE) 2016/679, los datos personales que figuran en documentos oficiales que se encuentren en posesión de una autoridad pública o de un organismo público o privado para la realización de una tarea de interés público pueden ser divulgados por dicha autoridad u organismo de conformidad con el Derecho de la Unión o del Estado miembro que resulte de aplicación a dicha autoridad u organismo público a fin de conciliar el derecho de acceso del público a los documentos oficiales con el derecho a la protección de los datos personales.

(17) La protección otorgada por la presente Directiva debe aplicarse a las personas físicas, independientemente de su nacionalidad o lugar de residencia, en lo que se refiere al tratamiento de sus datos personales.

(18) Para evitar que se produzcan graves riesgos de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de los datos personales, así como a su tratamiento manual si los datos personales están contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros y sus portadas que no estén estructurados con arreglo a criterios específicos no deben incluirse en el ámbito de aplicación de la presente Directiva.

(19) El Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo ( 1 ) se aplica al tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) nº 45/2001 y los demás actos jurídicos de la Unión aplicables a ese tipo de tratamiento de datos personales deben adaptarse a los principios y normas establecidos en el Reglamento (UE) 2016/679.

(20) La presente Directiva no impide que, en las normas nacionales relativas a los procesos penales, los Estados miembros especifiquen operaciones y procedimientos de tratamiento relativos al tratamiento de datos personales por parte de tribunales y otras autoridades judiciales, en particular en lo que respecta a los datos personales contenidos en resoluciones judiciales o en registros relacionados con procesos penales.

( 1 ) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(21) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Para determinar si una persona física es identificable deben tenerse en cuenta todos los medios con respecto a los cuales existe una probabilidad razonable de que puedan ser utilizados por el responsable del tratamiento o por cualquier otra persona para la identificación directa o indirecta de dicha persona física. Para determinar si existe una probabilidad razonable de que se utilicen unos medios determinados para la identificación de una persona física deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por tanto, los principios de protección de datos personales no deben aplicarse a la información anónima, a saber, información que no guarda relación con una persona física identificada o identificable, ni a los datos personales convertidos en anónimos de forma que el interesado al que se refieren ya no resulte identificable.

(22) Las autoridades públicas a las que se les faciliten datos personales en virtud de una obligación jurídica para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros, responsables de la reglamentación y supervisión de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las autoridades públicas siempre deben solicitar los datos por escrito, de forma justificada y con carácter ocasional, y los datos solicitados no podrán referirse a la totalidad de un fichero o suponer la interconexión de varios ficheros. El tratamiento de datos personales por las citadas autoridades públicas debe estar en consonancia con la normativa en materia de protección de datos que resulte de aplicación en función de la finalidad del tratamiento.

(23) Debe entenderse por datos genéticos todos los datos personales relacionados con las características genéticas de una persona física que se hayan heredado o adquirido y que aporten información única sobre la fisiología o la salud de esa persona física, y que resultan de análisis de una muestra biológica de la persona física de que se trate, en particular cromosómicos, del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o de análisis de cualquier otro elemento que permita obtener información equivalente. Habida cuenta de la complejidad y la sensibilidad de la información genética, existe un alto riesgo de que el responsable del tratamiento haga un uso indebido de la misma o la reutilice con fines no autorizados. Toda discriminación por razón de características genéticas debe quedar prohibida con carácter general.

(24) Entre los datos personales relacionados con la salud se deberían incluir todos los datos relativos al estado de salud del interesado que revelen información relativa al estado de la salud física o mental pasado, presente o futuro del interesado, incluidos los datos personales recopilados durante la inscripción de una persona física a efectos de la prestación de servicios de asistencia sanitaria a dicha persona o durante la prestación de tales servicios, de conformidad con lo dispuesto en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo ( 1 ); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluidos los datos genéticos y las muestras biológicas, y cualquier información relativa, por ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, ya sea un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro, por ejemplo.

(25) Todos los Estados miembros están afiliados a la Organización Internacional de Policía Criminal (Interpol). Para cumplir su misión, Interpol recibe, almacena y distribuye datos personales para ayudar a las autoridades competentes a prevenir y combatir la delincuencia internacional. Por ello, conviene reforzar la cooperación entre la Unión e Interpol facilitando un intercambio eficaz de datos personales, a la vez que se garantiza el respeto de los derechos y libertades fundamentales en relación con el tratamiento automatizado de los datos personales. Cuando se transmitan datos desde la Unión a Interpol y a los países que hayan destinado miembros a dicha organización, resultará de aplicación la presente Directiva, en particular lo dispuesto en materia de transmisiones internacionales de datos. La presente Directiva se entenderá sin perjuicio de las normas específicas establecidas en la Posición Común 2005/69/JAI del Consejo ( 2 ) y en la Decisión 2007/533/JAI del Consejo ( 3 ).

(26) Todo tratamiento de datos personales debe ser lícito, leal y transparente en relación con las personas físicas afectadas, y únicamente podrá llevarse a cabo con los fines específicos previstos en la ley. Ello no impide, per se, que las autoridades policiales puedan llevar a cabo actividades tales como las investigaciones encubiertas o la videovigilancia. Tales actividades pueden realizarse con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de

( 1 ) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).

( 2 ) Posición Común 2005/69/JAI del Consejo, de 24 de enero de 2005, relativa al intercambio de determinados datos con Interpol (DO L 27 de 29.1.2005, p. 61).

( 3 ) Decisión 2007/533/JAI del Consejo, de 12 de junio de 2007, relativa al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II) (DO L 205 de 7.8.2007, p. 63).

ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas para la seguridad pública, siempre y cuando estén previstas en la legislación y constituyan una medida necesaria y proporcionada en una sociedad democrática, con el debido respeto a los intereses legítimos de la persona física afectada. El principio de tratamiento leal en materia de protección de datos es un concepto distinto del derecho a un «juicio imparcial», según se define en el artículo 47 de la Carta y en el artículo 6 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (en lo sucesivo, «CEDH»). Debe informarse a las personas físicas de los riesgos, reglas, salvaguardias y derechos aplicables en relación con el tratamiento de sus datos personales, así como del modo de hacer valer sus derechos en relación con dicho tratamiento. En particular, los fines específicos a los que obedezca el tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de la recopilación de los datos personales. Los datos personales deben ser adecuados y pertinentes en relación con los fines para los que se tratan, lo cual requiere, en particular, que se garantice que los datos personales recogidos no son excesivos ni se conservan más tiempo del que sea necesario para los fines con los que se tratan. Los datos personales solo deberían ser objeto de tratamiento si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. Para garantizar que los datos no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su eliminación o revisión periódica. Los Estados miembros deben establecer las salvaguardias adecuadas en relación con los datos personales almacenados por períodos más largos para su archivo por cuestiones de interés público o para su uso científico, estadístico o histórico.

(27) Para la prevención, investigación y enjuiciamiento de las infracciones penales, es necesario que las autoridades competentes traten datos personales recopilados en el contexto de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales concretas más allá de ese contexto específico, con el fin de adquirir un mejor conocimiento de las actividades delictivas y establecer vínculos entre las distintas infracciones penales detectadas.

(28) Con el fin de mantener la seguridad del tratamiento y evitar que con él se infrinja lo dispuesto en la presente Directiva, los datos personales deben ser tratados de modo que se garantice un nivel adecuado de seguridad y confidencialidad, en particular impidiendo el acceso sin autorización a dichos datos o el uso no autorizado de los mismos y del equipo utilizado en el tratamiento, teniendo en cuenta el desarrollo técnico existente y la tecnología, los costes de ejecución con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.

(29) Los datos personales deben recogerse con fines determinados, explícitos y legítimos dentro del ámbito de aplicación de la presente Directiva y no deben ser tratados para fines incompatibles con los fines de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Si el mismo u otro responsable del tratamiento trata datos personales con alguno de los fines previstos en el ámbito de aplicación de la presente Directiva distinto del fin para el que los datos fueron recopilados, dicho tratamiento debe permitirse con la condición de que el mismo esté autorizado con arreglo a la legislación aplicable y sea necesario y proporcionado para dicho otro fin.

(30) El principio de exactitud de los datos debe aplicarse teniendo presente el carácter y finalidad del tratamiento correspondiente. En particular en los procedimientos judiciales, las declaraciones que contienen datos personales se basan en la percepción subjetiva de las personas físicas y no siempre son verificables. En consecuencia, el requisito de exactitud no debe relacionarse con la exactitud de una afirmación, sino exclusivamente con el hecho de que se ha formulado una afirmación concreta.

(31) Es inherente al tratamiento de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se traten datos personales relativos a diferentes categorías de interesados. Por ello, si procede y siempre que sea posible, se deben diferenciar claramente los datos personales de distintas categorías de interesados, tales como los sospechosos, los condenados por una infracción penal, las víctimas o los terceros, entre los que se incluyen los testigos, las personas que posean información o contactos útiles y los cómplices de sospechosos y delincuentes condenados. Lo anterior no debe impedir la aplicación del derecho a la presunción de inocencia tal como lo garantiza la Carta y el CEDH, según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos, respectivamente.

(32) Las autoridades competentes deben velar por que los datos personales que sean inexactos, incompletos o que no estén actualizados no se transmitan ni estén disponibles. Con el fin de garantizar tanto la protección de las personas físicas como la exactitud, integridad, actualidad y fiabilidad de los datos personales que se transmitan o se pongan a disposición de terceros, las autoridades competentes deben, en la medida de lo posible, añadir la información necesaria a todos los datos personales que transmitan.

(33) Las referencias de la presente Directiva al Derecho de un Estado miembro, a una base jurídica o a una medida legislativa no requieren necesariamente la existencia de un acto legislativo adoptado por un Parlamento, sin perjuicio de los requisitos exigidos por el ordenamiento constitucional del Estado miembro de que se trate. No obstante, dicho Derecho de un Estado miembro, base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para quienes estén sujetos a la misma, tal y como exige la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos. Cuando en el Derecho de un Estado miembro se regule el tratamiento de los datos personales dentro del ámbito de aplicación de la presente Directiva, se deben indicar al menos los objetivos del tratamiento, los datos personales que serán objeto del mismo, la finalidad del tratamiento, los procedimientos para el mantenimiento de la integridad y la confidencialidad de los datos personales y los procedimientos para su destrucción, proporcionando con ello garantías suficientes frente a los riesgos de abuso y arbitrariedad.

(34) El tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a amenazas para la seguridad pública, debe abarcar toda operación o conjunto de operaciones con datos personales o conjuntos de datos personales que se lleve a cabo con tales fines, ya sea de modo automatizado o no, y entre las que se incluye la recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, cotejo o combinación, limitación del tratamiento, supresión o destrucción de datos. En particular, las normas de la presente Directiva deben aplicarse a la transmisión de datos personales a los efectos de la presente Directiva a un destinatario que no esté sometido a la misma. Por «destinatario» debe entenderse toda persona física o jurídica, autoridad pública, servicio u otro organismo al que la autoridad competente comunique los datos personales de forma lícita. Si los datos personales fueron recopilados inicialmente por una autoridad competente para alguno de los fines previstos en la presente Directiva, el tratamiento de dichos datos para fines distintos de los previstos en la presente Directiva se regirá por lo dispuesto en el Reglamento (UE) 2016/679, siempre que dicho tratamiento esté autorizado por el Derecho de la Unión o del Estado miembro. En particular, las normas del Reglamento (UE) 2016/679 deben aplicarse a la transmisión de datos personales con fines no previstos en el ámbito de aplicación de la presente Directiva. Para el tratamiento de datos personales por parte de un destinatario que no sea una autoridad competente o que esté actuando como tal en el sentido de la presente Directiva y a quien una autoridad competente haya comunicado datos personales lícitamente, se estará a lo dispuesto en el Reglamento (UE) 2016/679. Al aplicar la presente Directiva, los Estados miembros deben poder precisar también la aplicación de las normas del Reglamento (UE) 2016/679, con sujeción a las condiciones establecidas en el mismo.

(35) Para que sea lícito, el tratamiento de datos personales en virtud de la presente Directiva debe ser necesario para el desempeño de una función de interés público llevada a cabo por una autoridad competente en virtud del Derecho de la Unión o de un Estado miembro con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre tales actividades debe incluirse la protección de los intereses vitales del interesado. El ejercicio de las funciones de prevención, investigación, detección o enjuiciamiento de infracciones penales que la legislación atribuye institucionalmente a las autoridades competentes permite a estas exigir u ordenar a las personas físicas que atiendan a las solicitudes que se les dirijan. En este caso, el consentimiento del interesado [según se define en el Reglamento (UE) 2016/679] no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes. Cuando se exige al interesado que cumpla una obligación jurídica, este no goza de verdadera libertad de elección, por lo que no puede considerarse que su respuesta constituya una manifestación libre de su voluntad. Ello no debe ser óbice para que los Estados miembros establezcan en su legislación la posibilidad de que el interesado pueda aceptar el tratamiento de sus datos personales a los efectos de la presente Directiva, por ejemplo, para la realización de pruebas de ADN en las investigaciones penales o el control del paradero del interesado mediante dispositivos electrónicos para la ejecución de sanciones penales.

(36) Los Estados miembros deben establecer que, cuando el Derecho de la Unión o de los Estados miembros que sean de aplicación a la autoridad transmisora competente dispongan la aplicación de condiciones específicas al tratamiento de datos personales en circunstancias específicas (como el uso de códigos de tratamiento), la autoridad transmisora competente debe informar de dichas condiciones y de la obligación de respetarlas al destinatario al que se transmiten los datos. Tales condiciones pueden incluir, por ejemplo, la prohibición de transmitir los datos personales a otros o utilizarlos para otros fines distintos de aquellos para los que fueron transmitidos al destinatario, o, en caso de limitación del derecho de información, la prohibición de que dicho destinatario informe al interesado sin la autorización previa de la autoridad transmisora competente. Dichas obligaciones también resultan de aplicación a las transmisiones de datos por parte de la autoridad transmisora competente a destinatarios de terceros países u organizaciones internacionales. Los Estados miembros deben establecer que la citada autoridad competente no aplique a los destinatarios de otros Estados miembros o a los órganos y organismos establecidos en virtud de la tercera parte, título V, capítulos 4 y 5, del TFUE condiciones distintas de las aplicables a las transmisiones de datos similares que tengan lugar dentro del Estado miembro de la autoridad transmisora competente.

(37) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede generar riesgos importantes para los derechos y las libertades fundamentales. Dichos datos personales deben incluir aquellos que pongan de manifiesto el origen racial o étnico, entendiéndose que el término «origen racial» empleado en la presente Directiva no implica la aceptación por parte de la Unión Europea de teorías que traten de determinar la existencia de razas humanas diferentes. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté supeditado a las garantías adecuadas de protección de los derechos y libertades del interesado que se establecen en la legislación y esté permitido en los casos autorizados por la ley; o, si no está ya autorizado por dicha legislación, que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona, o que el tratamiento se refiera a datos que el interesado ya ha hecho públicos de forma manifiesta. Entre las garantías adecuadas de protección de los derechos y libertades del interesado pueden figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente en relación con otros datos de la persona física afectada, la posibilidad de proteger adecuadamente los datos recopilados, el establecimiento de normas más estrictas para el acceso a los datos por parte del personal de la autoridad competente, o la prohibición de transmisión de dichos datos. El tratamiento de este tipo de datos también debe estar jurídicamente permitido si el interesado ha acordado de forma explícita que el tratamiento de los datos resulte especialmente intrusivo para las personas. Sin embargo, el consentimiento del interesado no debe constituir en sí mismo un fundamento jurídico para que las autoridades competentes procedan al tratamiento de datos personales sensibles como los mencionados.

(38) El interesado debe tener derecho a no ser objeto de una decisión que evalúe aspectos personales que le conciernen que se base únicamente en un tratamiento automatizado de los datos y que tenga efectos jurídicos adversos que le conciernan o le afecten significativamente. En todo caso, este tipo de tratamiento debe estar sujeto a las garantías apropiadas, lo que incluye informar de forma específica al interesado, así como el derecho a la intervención humana, en particular para que el interesado pueda expresar su punto de vista, obtener una explicación de la decisión adoptada tras dicha evaluación, o ejercer su derecho a impugnar la decisión. Queda prohibida la elaboración de perfiles que dé lugar a la discriminación de personas físicas por razones basadas en datos personales que, por su naturaleza, son especialmente sensibles en relación con los derechos y las libertades fundamentales, con arreglo a las condiciones previstas en los artículos 21 y 52 de la Carta.

(39) Para poder ejercer sus derechos, toda la información dirigida al interesado debe ser fácilmente accesible, en particular, en el sitio web del responsable del tratamiento, y fácil de entender, para lo que debe emplearse un lenguaje claro y sencillo. Dicha información debe adaptarse a las necesidades de las personas vulnerables, entre las que se incluyen los niños.

(40) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos con arreglo a las disposiciones adoptadas de conformidad con la presente Directiva, incluidos mecanismos para solicitar y, en su caso, obtener, de forma gratuita, el acceso a sus datos personales, así como su rectificación o supresión y la limitación de su tratamiento. El responsable del tratamiento debe estar obligado a responder sin dilación indebida a las solicitudes del interesado, salvo que aplique restricciones a los derechos del interesado de conformidad con la presente Directiva. Asimismo, si las solicitudes son manifiestamente infundadas o excesivas, como cuando el interesado solicita información de forma poco razonable y repetitiva o abusa de su derecho a recibir información, por ejemplo proporcionando información falsa o engañosa al presentar la solicitud, el responsable del tratamiento debe ser capaz de exigir el pago de un canon razonable o negarse a dar curso a la solicitud.

(41) Cuando el responsable del tratamiento solicite información complementaria que resulte necesaria para confirmar la identidad del interesado, dicha información debe tratarse únicamente a tal efecto y no debe almacenarse más tiempo del que sea necesario para dicho fin.

(42) Debe informarse al interesado, como mínimo, de lo siguiente: la identidad del responsable del tratamiento, la existencia de la operación de tratamiento, los fines del tratamiento, el derecho a presentar una reclamación y el derecho a solicitar al responsable del tratamiento el acceso a los datos personales, su rectificación o supresión, o la limitación de su tratamiento. Esta información se podrá facilitar en el sitio web de la autoridad competente. Además, en determinados casos y con el fin de permitir que ejerza sus derechos, debe informarse al interesado de la base jurídica en la que se fundamenta el tratamiento y del período durante el que se conservarán los datos, siempre que dicha información adicional resulte necesaria y habida cuenta de las circunstancias concretas en que se produce el tratamiento de los datos, a fin de garantizar un tratamiento leal en lo que respecta al interesado.

(43) Toda persona física debe tener derecho a acceder a los datos que se hayan recopilado en relación con ella y a poder ejercer este derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Todo interesado debe, por tanto, tener derecho a conocer y a que se le comuniquen, en particular, la finalidad del tratamiento, el plazo de conservación de los datos y los destinatarios que los reciben, incluso en terceros países. Cuando esta comunicación incluya información relativa al origen de los datos personales, dicha información no debe revelar la identidad de ninguna persona física, sobre todo cuando se trate de fuentes confidenciales. Para que se considere que se ha respetado ese derecho, basta con que el interesado esté en posesión de un resumen completo de tales datos presentados de forma inteligible, es decir, de forma que el interesado pueda tener conocimiento de los mismos y verificar que son exactos y que su tratamiento se ha realizado de conformidad con la presente Directiva, de modo que, si ha lugar, pueda ejercer los derechos que esta le confiere. Dicho resumen puede ser una copia de los datos personales que están siendo objeto de tratamiento.

(44) Debe permitirse a los Estados miembros adoptar medidas legislativas que retrasen, limiten u omitan que se facilite información a los interesados o que limiten, total o parcialmente, el acceso de los interesados a sus datos personales, en la medida en que dichas medidas sean necesarias y proporcionadas en una sociedad democrática y mientras sigan siéndolo, con el debido respeto a los derechos fundamentales y los intereses legítimos de la persona física afectada, con el fin de no entorpecer las indagaciones, investigaciones o procedimientos oficiales o judiciales, de no perjudicar la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, de proteger la seguridad pública o la seguridad nacional o de salvaguardar los derechos y las libertades de terceros. El responsable del tratamiento debe evaluar, mediante un análisis individual y específico de cada caso, si procede o no restringir, total o parcialmente, el derecho de acceso.

(45) Toda denegación o restricción de acceso debe, en principio, comunicarse por escrito al interesado precisando los fundamentos de hecho o de Derecho en los que se basa la decisión.

(46) Toda restricción de los derechos del interesado debe cumplir con lo dispuesto en la Carta y el CEDH, según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos, respectivamente, y, en particular, respetar el contenido esencial de los citados derechos y libertades.

(47) Toda persona física debe tener derecho a la rectificación de aquellos datos personales inexactos que le conciernan, en particular cuando estén relacionados con hechos, así como a la supresión de los datos cuyo tratamiento no se ajuste a lo dispuesto en la presente Directiva. Sin embargo, el derecho de rectificación no debe afectar, por ejemplo, al contenido de la declaración de un testigo. Asimismo, toda persona física debe tener derecho a la limitación del tratamiento cuando, tras impugnar la exactitud de un dato de carácter personal, no sea posible determinar su exactitud o inexactitud, o cuando los datos personales deban conservarse a efectos probatorios. En particular, en lugar de suprimir los datos personales, el tratamiento debe limitarse si en un caso concreto hay razones justificadas para suponer que la supresión podría perjudicar los intereses legítimos del interesado. En tal caso, los datos restringidos podrán tratarse únicamente para los fines que impidieron su supresión. Entre los métodos para limitar el tratamiento de datos personales podrían incluirse, entre otros, los consistentes en trasladar los datos seleccionados a otro sistema de tratamiento, por ejemplo a efectos de archivo, o en impedir el acceso a los datos seleccionados. En los ficheros automatizados, la limitación del tratamiento de datos personales debe hacerse, en principio, por medios técnicos; la limitación del tratamiento de los datos personales debe indicarse en el sistema de tal modo que quede claro que el tratamiento de los datos personales está limitado. Debe notificarse a los destinatarios a los que se hayan comunicado los datos inexactos y a las autoridades competentes de las que procedan dichos datos inexactos que se ha procedido a rectificar o suprimir los datos personales o a limitar su tratamiento. Los responsables del tratamiento deben abstenerse asimismo de toda divulgación ulterior de los citados datos.

(48) Si el responsable del tratamiento deniega al interesado sus derechos de información, acceso a los datos personales, o rectificación o supresión de estos, o la limitación de su tratamiento, el interesado debe tener derecho a solicitar que la autoridad nacional de control verifique la licitud del tratamiento. El interesado debe ser informado de este derecho. Cuando actúe por cuenta del interesado, la autoridad de control debe informarle, como mínimo, de que ha llevado a cabo todas las verificaciones o revisiones necesarias. La autoridad de control también debe informar al interesado de su derecho a la tutela judicial.

(49) Cuando los datos personales sean tratados en el transcurso de una investigación penal o un procedimiento judicial en materia penal, el ejercicio de los derechos de información, acceso a los datos personales, rectificación o supresión de estos y la limitación de su tratamiento podrá ejercerse de conformidad con el Derecho procesal nacional.

(50) Se debe establecer la responsabilidad del responsable del tratamiento en relación con cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento debe estar obligado a poner en marcha medidas oportunas y eficaces y a poder demostrar la conformidad de las actividades de tratamiento con la presente Directiva. Estas medidas deben tener en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo que representan para los derechos y las libertades de las personas físicas. Las medidas adoptadas por el responsable del tratamiento deben incluir la formulación y puesta en marcha de salvaguardias específicas en relación con el tratamiento de los datos personales de personas físicas vulnerables, en particular los niños.

(51) Los riesgos para los derechos y libertades de los interesados, de diversa probabilidad y gravedad, pueden producirse debido a un tratamiento de datos capaz de provocar daños físicos, materiales o inmateriales, en particular cuando el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas económicas, menoscabo de la reputación, pérdida de confidencialidad de datos sujetos al secreto  profesional, inversión no autorizada de la seudonimización, o cualquier otro perjuicio económico o social significativo; cuando los interesados se vean privados de sus derechos y libertades o de la posibilidad de ejercer el control sobre sus datos personales; cuando los datos personales tratados pongan de manifiesto el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, cuando se traten datos genéticos o datos biométricos que permiten la identificación unívoca de una persona o cuando se traten datos relativos a la salud o a la vida y orientación sexuales o a los antecedentes e infracciones penales u otras medidas de seguridad relacionadas; cuando se evalúen aspectos personales, en particular en el marco del análisis y la predicción de aspectos referidos al rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la ubicación o los movimientos, con el fin de crear o utilizar perfiles personales; cuando se traten datos personales de personas físicas vulnerables, en particular los niños; o cuando el tratamiento se refiera a una gran cantidad de datos personales y afecte a un elevado número de interesados.

(52) La probabilidad y la gravedad del riesgo debe determinarse en función de la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe determinarse basándose en una evaluación objetiva, mediante la cual se determine si las operaciones de tratamiento de datos suponen un alto riesgo. Un alto riesgo es un especial riesgo de perjuicio para los derechos y libertades de los interesados.

(53) La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de las oportunas medidas de carácter técnico y organizativo con el fin de garantizar el cumplimiento de lo dispuesto en la presente Directiva. La aplicación de tales medidas no puede depender únicamente de criterios económicos. A fin de poder demostrar que cumple lo dispuesto en la presente Directiva, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que respeten, en particular, los principios de la protección de datos desde la concepción y de la protección de datos por defecto. Cuando el responsable del tratamiento haya llevado a cabo una evaluación de impacto relativa a la protección de datos con arreglo a lo dispuesto en la presente Directiva, los resultados de dicha evaluación se deben tener en cuenta en la formulación de tales medidas y procedimientos. Dichas medidas pueden consistir, entre otras cosas, en la utilización, lo antes posible, de procesos de seudonimización. El uso de la seudonimización a los efectos de la presente Directiva puede contribuir, en particular, a la libre circulación de datos personales dentro del espacio de libertad, seguridad y justicia.

(54) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, también en lo que respecta a la supervisión por parte de las autoridades de control y a las medidas adoptadas por ellas, requieren una atribución clara de las responsabilidades en virtud de la presente Directiva, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables del tratamiento o en los que el tratamiento se lleve a cabo por cuenta de otro responsable.

(55) La realización del tratamiento por un encargado del tratamiento debe regirse por un acto jurídico, en particular, un contrato que obligue al encargado frente al responsable del tratamiento y que estipule, concretamente, que el encargado debe actuar únicamente con arreglo a las instrucciones del responsable. El encargado del tratamiento debe tener en cuenta los principios de la protección de datos desde la concepción y de la protección de datos por defecto.

(56) Para demostrar que se cumple lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento debe mantener registros relativos a todas las categorías de actividades de tratamiento que se lleven a cabo bajo su responsabilidad. Todos los responsables y todos los encargados del tratamiento deben estar obligados a cooperar con la autoridad de control y a poner dichos registros a su disposición, cuando lo solicite, de modo que puedan servir para supervisar las operaciones de tratamiento. Los responsables o los encargados del tratamiento que traten datos personales mediante sistemas de tratamiento no automatizado deben contar con métodos eficaces, como los registros diarios o de otro tipo, para demostrar la licitud del tratamiento, permitir el autocontrol y garantizar la integridad y la seguridad de los datos.

(57) Deben conservarse registros, como mínimo, de las operaciones llevadas a cabo mediante sistemas de tratamiento automatizado, entre las que se incluyen la recopilación, la modificación, la consulta, la comunicación (incluida la transmisión), la combinación o la supresión de datos. Los datos identificativos de la persona que consulta o comunica los datos personales deben quedar registrados y, a partir de dichos datos, debe ser posible establecer la justificación de las operaciones de tratamiento. Los registros se deben utilizar únicamente para comprobar la licitud del tratamiento de datos, a efectos de autocontrol y para garantizar la integridad y la seguridad de los datos y los procesos penales. El autocontrol abarca, asimismo, los procedimientos disciplinarios en el seno de las autoridades competentes.

(58) El responsable del tratamiento debe realizar una evaluación del impacto sobre la protección de datos cuando exista la probabilidad de que, por su naturaleza, alcance o fines, las operaciones de tratamiento entrañen un alto riesgo para los derechos y las libertades de los interesados; dicha evaluación debe incluir, en particular, las medidas, garantías y mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con la presente Directiva. Las evaluaciones de impacto deben abarcar los sistemas y procesos correspondientes de las operaciones de tratamiento, pero no harán referencia a casos concretos.

(59) Con el fin de garantizar la protección efectiva de los derechos y las libertades de los interesados, en determinados casos, el responsable o el encargado del tratamiento debe consultar a la autoridad de control antes del tratamiento previsto.

(60) Al objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en la presente Directiva, el responsable o el encargado del tratamiento deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica, el coste de su aplicación con respecto al riesgo y la naturaleza de los datos personales que deban protegerse. En la evaluación de los riesgos relacionados con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos, como la destrucción accidental o ilícita, la pérdida, la alteración, la comunicación no autorizada o el acceso no autorizado a datos personales transmitidos, almacenados o sometidos a cualquier otro tipo de tratamiento, que puedan ocasionar, en particular, perjuicios físicos, materiales o inmateriales. El responsable y el encargado del tratamiento deben asegurarse de que el tratamiento de datos personales no lo llevan a cabo personas no autorizadas.

(61) Si no se toman medidas adecuadas de manera adecuada y oportuna, las violaciones de la seguridad de datos personales pueden dar lugar a daños y perjuicios físicos, materiales o inmateriales para las personas físicas, entre los que se incluyen la pérdida de control sobre sus datos personales o la restricción de sus derechos, la discriminación, la usurpación de la identidad, las pérdidas financieras, la inversión no autorizada de una seudonimización, el menoscabo de la reputación, la pérdida de confidencialidad de datos personales sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por ello, en cuanto el responsable del tratamiento tenga conocimiento de que se ha producido una violación de datos personales, debe notificarlo sin dilación indebida a la autoridad de control y, cuando sea factible, en el plazo de 72 horas después de haberlo sabido, a menos que el responsable del tratamiento pueda demostrar, de conformidad con el principio de rendición de cuentas, que es improbable que dicha violación entrañe un riesgo para los derechos y las libertades de las personas físicas. Cuando no sea posible efectuar la notificación en el plazo de 72 horas, esta debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse la información por fases sin más dilaciones indebidas.

(62) Se debe informar a las personas físicas sin dilación indebida en el supuesto de que sea probable que la violación de la seguridad de datos personales entrañe un alto riesgo para sus derechos y libertades, a fin de que puedan adoptar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de datos personales e incluir recomendaciones para que la persona física afectada mitigue los posibles efectos adversos. Las comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible, en estrecha cooperación con la autoridad de control y siguiendo sus directrices o las establecidas por otras autoridades competentes. Así, por ejemplo, la necesidad de mitigar un riesgo inmediato de perjuicio habría que comunicarla a los interesados de forma inmediata, mientras que la necesidad de aplicar medidas adecuadas para impedir que se sigan violando los datos o se produzcan violaciones de la seguridad de datos similares puede justificar más tiempo para la comunicación. Cuando el hecho de retrasar o restringir la comunicación de una violación de la seguridad de datos personales a la persona física afectada no sea suficiente para evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales, evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales, proteger la seguridad pública o la seguridad nacional o proteger los derechos y libertades de otras personas, dicha comunicación, en circunstancias excepcionales, podrá omitirse.

(63) El responsable del tratamiento designará a una persona para que le asista en la supervisión del cumplimiento interno de las disposiciones adoptadas en virtud de la presente Directiva, salvo en los casos en los que un Estado miembro decida eximir a los órganos jurisdiccionales y demás autoridades judiciales independientes cuando actúen en el ejercicio de su función jurisdiccional. Dicha persona podrá ser un empleado que ya trabaje para el responsable del tratamiento y que haya recibido una formación especial sobre la legislación y las prácticas de protección de datos, con el fin de adquirir conocimientos especializados en este ámbito. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función del tratamiento de datos que se lleve a cabo y de la protección exigida para los datos personales tratados por el responsable del tratamiento. Podrá desempeñar sus funciones a tiempo completo o a tiempo parcial. Varios responsables del tratamiento podrán nombrar conjuntamente a un mismo delegado de protección de datos teniendo en cuenta su estructura organizativa y tamaño, como, por ejemplo, en el caso de que compartan recursos en unidades centralizadas. Dicha persona también podrá ser designada para ocupar otros cargos dentro de la estructura organizativa de los responsables del tratamiento en cuestión. Debe prestar ayuda al responsable del tratamiento y a los empleados que lleven a cabo el tratamiento de datos personales facilitándoles información y asesoramiento sobre el cumplimiento de las obligaciones que les correspondan en materia de protección de datos. Tales delegados de protección de datos deben estar en condiciones de desempeñar sus deberes y funciones con independencia y de conformidad con el Derecho del Estado miembro.

(64) Los Estados miembros deben velar por que las transferencias de datos a terceros países o a organizaciones internacionales solo se lleven a cabo si resultan necesarias para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, y si el responsable del tratamiento en el tercer país u organización internacional de que se trate es una autoridad competente en el sentido de lo dispuesto en la presente Directiva. Las transferencias de datos solo pueden llevarlas a cabo las autoridades competentes cuando actúen en calidad de responsables del tratamiento, salvo que los encargados del tratamiento hayan recibido instrucciones expresas de llevar a cabo la transferencia en nombre de los responsables del tratamiento. Dichas transferencias pueden tener lugar en los casos en que la Comisión haya decidido que el tercer país o la organización internacional en cuestión garantizan un nivel adecuado de protección, o cuando se hayan ofrecido unas garantías apropiadas o se apliquen excepciones para situaciones específicas. Cuando los datos personales sean transferidos desde la Unión a responsables y encargados del tratamiento u otros destinatarios de terceros países u organizaciones internacionales, no debe verse menoscabado el nivel de protección de las personas físicas que se garantiza en la Unión mediante la presente Directiva, ni tampoco en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados del tratamiento del mismo u otro tercer país u organización internacional.

(65) Cuando los datos personales se transfieran de un Estado miembro a terceros países u organizaciones internacionales, dicha transferencia solo debe realizarse, en principio, después de que el Estado miembro del que se obtuvieron los datos haya autorizado la transferencia. A los efectos de una cooperación eficaz en materia policial, es necesario que, cuando la naturaleza de una amenaza para la seguridad pública de un Estado miembro o de un tercer país o para los intereses fundamentales de un Estado miembro sea tan inmediata como para que resulte imposible conseguir la autorización previa a tiempo, la autoridad competente debe poder transferir los datos personales de que se trate al tercer país u organización internacional correspondiente sin dicha autorización previa. Los Estados miembros deben disponer que se comuniquen al tercer país y/o a la organización internacional que corresponda todas las condiciones específicas aplicables a la transferencia. Toda transferencia ulterior de datos personales estará supeditada a la autorización previa de la autoridad competente que llevó a cabo la transferencia inicial. Al decidir si autorizar dicha transferencia ulterior de los datos, la autoridad competente que llevó a cabo la transferencia inicial debe tener debidamente en cuenta todos los factores pertinentes, entre los que se incluye la gravedad de la infracción penal, las condiciones específicas de la transferencia y la finalidad para la que se transfirieron los datos en primera instancia, la naturaleza y las condiciones de ejecución de la sanción penal y el nivel de protección de datos personales existente en el tercer país o la organización internacional a los que se van a transferir los datos. La autoridad competente que llevó a cabo la transferencia inicial también podrá supeditar la transferencia ulterior de los datos a condiciones específicas. Dichas condiciones específicas se pueden describir, por ejemplo, mediante el empleo de códigos de tratamiento.

(66) La Comisión debe poder decidir, con efectos para toda la Unión, que determinados terceros países, o un territorio, o uno o más sectores específicos de un tercer país, o una organización internacional ofrecen un nivel adecuado de protección de datos, proporcionando así seguridad jurídica y uniformidad en toda la Unión en lo que se refiere a los terceros países u organizaciones internacionales que se considera ofrecen tal nivel de protección. En estos casos, se podrán efectuar transferencias de datos personales a tales países sin necesidad de obtener una autorización específica, salvo que otro Estado miembro, del que se hayan obtenido los datos, tenga que autorizar la transferencia.

(67) En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación de un tercer país, de un territorio, o de un sector específico de un tercer país, debe tener en cuenta la medida en que dicho tercer país respeta el Estado de Derecho, el acceso a la justicia y las normas y principios internacionales en materia de derechos humanos, y su Derecho tanto general como sectorial, incluida la legislación relativa a la seguridad pública, la defensa y la seguridad nacional, así como el Derecho penal y el orden público. En la adopción de una decisión de adecuación en relación con un territorio o un sector específico de un tercer país, se deben tener en cuenta criterios claros y objetivos, como las actividades de tratamiento concretas y el ámbito de aplicación de las normas jurídicas y la legislación vigentes en el tercer país. El tercer país en cuestión debe ofrecer garantías que aseguren un nivel de protección adecuado que sea esencialmente equivalente al garantizado en el interior de la Unión, en particular cuando los datos se sometan a tratamiento en uno o varios sectores específicos. En particular, el tercer país debe garantizar la supervisión eficaz e independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros, y ofrecer a los interesados derechos efectivos y exigibles, así como un derecho a la tutela administrativa y judicial efectiva.

(68) Aparte de los compromisos internacionales adquiridos por el tercer país u organización internacional, la Comisión también debe tener en cuenta las obligaciones resultantes de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, y el cumplimiento de las citadas obligaciones. En particular, debería tenerse en cuenta la adhesión del país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos personales y su Protocolo adicional. La Comisión debe consultar al Comité Europeo de Protección de Datos establecido por el Reglamento (UE) 2016/679 al evaluar el nivel de protección existente en terceros países u organizaciones internacionales. La Comisión también debe tener en cuenta las decisiones de adecuación que haya adoptado de conformidad con el artículo 45 del Reglamento (UE) 2016/679.

(69) La Comisión debe supervisar el funcionamiento de las decisiones relativas al nivel de protección de un tercer país, territorio o sector específico de un tercer país, o de una organización internacional. En sus decisiones de adecuación, la Comisión debe establecer un mecanismo para la revisión periódica de su funcionamiento. Esta revisión periódica debe realizarse en colaboración con el tercer país u organización internacional de que se trate y debe tener en cuenta todas las novedades pertinentes que se produzcan en dicho tercer país u organización internacional.

(70) La Comisión también debe poder determinar que un tercer país, un territorio, un sector específico de un tercer país o una organización internacional han dejado de garantizar un nivel adecuado de protección de datos. En tal caso, debe prohibirse la transferencia de datos personales a dicho tercer país u organización internacional, salvo que se cumplan los requisitos de la presente Directiva relativos a las transferencias sujetas a garantías y excepciones adecuadas para situaciones particulares. Deben establecerse los procedimientos para la celebración de consultas entre la Comisión y dichos terceros países u organizaciones internacionales. La Comisión debe informar oportunamente al tercer país u organización internacional de las razones de la situación y entablar consultas a fin de subsanarla.

(71) Las transferencias no basadas en tales decisiones de adecuación solo deben permitirse cuando se hayan ofrecido las garantías adecuadas en un instrumento jurídicamente vinculante que aseguren la protección de los datos personales o cuando el responsable del tratamiento haya evaluado todas las circunstancias de la transferencia de datos y, sobre la base de tal evaluación, considere que se dan las garantías adecuadas con respecto a la protección de los datos personales. Tales instrumentos jurídicamente vinculantes podrían ser, por ejemplo, acuerdos bilaterales jurídicamente vinculantes celebrados por los Estados miembros y aplicados en su ordenamiento jurídico y cuyo cumplimiento pueda ser exigido por los interesados de dichos Estados, de forma que se garantice el cumplimento de los requisitos de protección de datos y el respeto de los derechos de los interesados, entre los que se incluye el derecho a la tutela administrativa o judicial efectiva. El responsable del tratamiento puede tener en cuenta los acuerdos de cooperación celebrados entre Europol o Eurojust y terceros países que permitan el intercambio de datos personales al llevar a cabo la evaluación de todas las circunstancias que concurran en la transferencia de datos. El responsable del tratamiento también puede tener en cuenta si la transferencia de datos va a estar sujeta a obligaciones de confidencialidad y al principio de especificidad, que garantiza que los datos no se tratarán para fines distintos de aquellos para los que se han transferido. Además, el responsable del tratamiento debe verificar que los datos personales no vayan a ser utilizados para solicitar, dictar o ejecutar la pena capital u otra forma de trato cruel o inhumano. Aunque estas condiciones puedan considerarse protecciones adecuadas que permitan la trasferencia de los datos, el responsable del tratamiento podrá exigir salvaguardias adicionales.

(72) De no existir ni una decisión de adecuación ni unas garantías adecuadas, únicamente podrá realizarse una transferencia de datos o una categoría de transferencias de datos en situaciones específicas, y si fuera necesario, a fin de proteger los intereses vitales del interesado o de otra persona, o de proteger los intereses legítimos del interesado cuando así lo disponga la legislación del Estado miembro que transfiere los datos personales, para prevenir una amenaza inmediata y grave para la seguridad pública de un Estado miembro o de un tercer país, en un caso concreto a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a amenazas para la seguridad pública, o en un caso concreto para el reconocimiento, el ejercicio o la defensa de una pretensión jurídica. Dichas excepciones se deben interpretar de forma restrictiva y no permitir la transferencia frecuente, en masa y estructural de datos personales ni la transferencia de datos a gran escala, sino limitarse a los datos estrictamente necesarios. Tales transferencias deben documentarse y ponerse a disposición de la autoridad de supervisión cuando así lo solicite, a fin de supervisar la licitud de las transferencias.

(73) Las autoridades competentes de los Estados miembros están aplicando acuerdos internacionales vigentes, de carácter bilateral o multilateral, celebrados con terceros países en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial para el intercambio de información de interés que les permita desempeñar las funciones que les encomienda la ley. En principio, estos intercambios se realizan a través de las autoridades correspondientes de los terceros países en cuestión a efectos de la presente Directiva, o al menos con su cooperación, en ocasiones incluso sin que exista un acuerdo internacional bilateral o multilateral. Sin embargo, en determinados casos particulares, los procedimientos habituales que exigen contactar con la autoridad del tercer país en cuestión pueden ser ineficaces o inadecuados, en particular por no permitir efectuar la transferencia de forma oportuna, o porque dicha autoridad del tercer país no respete el Estado de Derecho o las normas y principios internacionales en materia de derechos humanos, en cuyo caso las autoridades competentes de los Estados miembros pueden decidir transferir los datos personales directamente a destinatarios establecidos en terceros países. Este caso puede darse cuando haya una necesidad urgente de transferir datos personales para salvar la vida de una persona que esté en peligro de ser víctima de una infracción penal o para prevenir la comisión inminente de un delito, en particular, de terrorismo. Aunque dicho tipo de transferencias de datos entre autoridades competentes y destinatarios establecidos en terceros países solo debe producirse en casos concretos y específicos, la presente Directiva debe prever condiciones para la reglamentación de tales casos. Esas disposiciones no deben considerarse excepciones a ningún acuerdo internacional existente, ya sea bilateral o multilateral, en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial. Dichas normas deben aplicarse además de las demás normas de la presente Directiva, en particular las relativas a la licitud del tratamiento y las del capítulo V.

(74) Cuando los datos personales circulan a través de las fronteras, se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer sus derechos de protección de datos con el fin de protegerse contra la utilización o comunicación ilícitas de dichos datos. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades realizadas fuera de sus fronteras. Sus esfuerzos por colaborar en el ámbito transfronterizo también pueden verse obstaculizados por la insuficiencia de las facultades preventivas o correctivas o la incoherencia de los ordenamientos jurídicos. Por tanto, es necesario fomentar una cooperación más estrecha entre las autoridades de control de la protección de datos a fin de contribuir al intercambio de información con sus homólogos extranjeros.

(75) La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente Directiva y deben contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos personales. Para ello, las autoridades de control deben cooperar entre sí y con la Comisión.

(76) Los Estados miembros pueden confiar a una autoridad de control que ya haya sido creada de conformidad con el Reglamento (UE) 2016/679 la responsabilidad correspondiente a las funciones que hayan de desempeñar las autoridades nacionales de control que se creen con arreglo a lo dispuesto en la presente Directiva.

(77) Se debe autorizar a los Estados miembros a crear más de una autoridad de control con objeto de reflejar su estructura constitucional, organizativa y administrativa. Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos, los locales y las infraestructuras que sean necesarios para la realización eficaz de sus funciones, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. Cada autoridad de control debe disponer de un presupuesto anual público independiente, que podrá formar parte del presupuesto general estatal o nacional.

(78) Las autoridades de control deben estar sujetas a mecanismos de control o supervisión independientes en relación con sus gastos financieros, siempre que este control financiero no afecte a su independencia.

(79) Las condiciones generales aplicables al miembro o miembros de la autoridad de control deben establecerse en el Derecho del Estado miembro, y disponer, entre otras cosas, que dichos miembros sean nombrados por el Parlamento, o el Gobierno o el jefe de Estado del Estado miembro, a partir de una propuesta del Gobierno o de un miembro del Gobierno, o del Parlamento o su Cámara, o por un organismo independiente al que el Derecho del Estado miembro encomiende el nombramiento mediante un procedimiento transparente. Con el fin de garantizar la independencia de la autoridad de control, sus miembros deben actuar con integridad, abstenerse de cualquier acción que sea incompatible con sus funciones y no deben participar, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada. Con el fin de garantizar la independencia de la autoridad de control, el personal ha de ser seleccionado por la autoridad de control, lo que podrá incluir la intervención de un organismo independiente encomendado por el Derecho del Estado miembro.

(80) Aunque la presente Directiva también se aplica a las actividades de los órganos jurisdiccionales nacionales y otras autoridades judiciales, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los órganos jurisdiccionales actúen en ejercicio de su función jurisdiccional, con el fin de garantizar la independencia de los jueces en el desempeño de sus funciones. Esta excepción debe limitarse a actividades judiciales en juicios y no debe aplicarse a otras actividades en las que puedan estar implicados los jueces, de conformidad con el Derecho del Estado miembro. Los Estados miembros pueden disponer también que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo la fiscalía. En todo caso, el cumplimiento de las normas de la presente Directiva por los órganos jurisdiccionales y otras autoridades judiciales independientes debe estar sujeto siempre a una supervisión independiente de conformidad con el artículo 8, apartado 3, de la Carta.

(81) Cada autoridad de control debe atender a las reclamaciones presentadas por cualquier interesado y debe investigar el asunto o transmitirlo a la autoridad de control competente. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control jurisdiccional, en la medida en que sea adecuada en el caso específico. La autoridad de control debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el caso requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado.

(82) Para garantizar una supervisión del cumplimiento y una ejecución eficaces, fiables y coherentes de la presente Directiva en toda la Unión con arreglo al TFUE a tenor de la interpretación del Tribunal de Justicia, las autoridades de control deben tener en cada Estado miembro las mismas funciones y los mismos poderes efectivos, incluidos los poderes de investigación, los poderes de corrección y los poderes consultivos que constituyan los medios necesarios para el desempeño de sus funciones. Sin embargo, sus competencias no deben afectar a las normas específicas previstas para los procesos penales, incluidos la investigación y el enjuiciamiento de infracciones penales, ni a la independencia del poder judicial. Sin perjuicio de las atribuciones del ministerio fiscal con arreglo al Derecho del Estado miembro, las autoridades de control deben tener también competencia para poner en conocimiento de las autoridades judiciales las infracciones de la presente Directiva y/o capacidad para litigar. Los poderes de las autoridades de control deben ejercerse de conformidad con las garantías procesales adecuadas establecidas en el Derecho de la Unión y de los Estados miembros, de forma imparcial y justa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento de la presente Directiva, teniendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que les afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas. Los poderes de investigación en lo que se refiere al acceso a instalaciones deben ejercerse de conformidad con los requisitos específicos del Derecho del Estado miembro, como el de obtener una autorización judicial previa. Las decisiones jurídicamente vinculantes que se adopten deben estar sujetas a control jurisdiccional en el Estado miembro de la autoridad de control que haya adoptado la decisión.

(83) Las autoridades de control deben ayudarse en el desempeño de sus funciones y facilitarse ayuda mutua, con el fin de garantizar la aplicación y ejecución coherentes de las disposiciones adoptadas con arreglo a la presente Directiva.

(84) El Comité Europeo de Protección de Datos debe contribuir a la aplicación coherente de la presente Directiva en el conjunto de la Unión, entre otras cosas asesorando a la Comisión y fomentando la cooperación de las autoridades de control en toda la Unión.

(85) Todo interesado debe tener derecho a presentar una reclamación ante una única autoridad de control y a presentar un recurso judicial efectivo de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos según las disposiciones adoptadas en virtud de la presente Directiva o en caso de que la autoridad de control no reaccione ante una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando su actuación sea necesaria para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control jurisdiccional, en la medida en que sea adecuada en el caso específico. La autoridad de control competente debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el caso requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, cada autoridad de control debe adoptar medidas como ofrecer un formulario de reclamaciones que pueda cumplimentarse también por vía electrónica, sin excluir otros medios de comunicación.

(86) Toda persona física o jurídica debe tener derecho a presentar un recurso judicial efectivo ante el órgano jurisdiccional nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le conciernan. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de las reclamaciones. No obstante, este derecho no incluye otras medidas de las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por la autoridad de control. Las acciones legales contra una autoridad de control deben ejercerse ante los órganos jurisdiccionales del Estado miembro en el que esté establecida la autoridad de control y conducirse con arreglo al Derecho del Estado miembro. Esos órganos jurisdiccionales deben ejercer la plena jurisdicción, que debe incluir la jurisdicción para examinar todas las circunstancias de hecho y de Derecho relativas al litigio en el que entiendan.

(87) Cuando el interesado considere que se conculcan sus derechos reconocidos en la presente Directiva, tendrá derecho a dar mandato a una entidad que tenga por objeto proteger los derechos e intereses de los interesados en relación con la protección de sus datos personales y esté constituida con arreglo al Derecho del Estado miembro, para que presente, en su nombre, una reclamación ante la autoridad de control y ejerza el derecho al recurso judicial. El derecho a representación de los interesados será sin perjuicio del Derecho procesal del Estado miembro que pueda requerir una representación obligatoria de los interesados por parte de un abogado, como se define en la Directiva 77/249/CEE del Consejo ( 1 ), ante los tribunales nacionales.

(88) Cualquier perjuicio que pueda sufrir una persona como consecuencia de un tratamiento que infrinja disposiciones adoptadas en virtud de la presente Directiva debe ser compensado por el responsable o cualquier otra autoridad competente en virtud del Derecho del Estado miembro. El concepto de perjuicio debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia y de tal modo que refleje plenamente los objetivos de la presente Directiva. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Las referencias a operaciones de tratamiento ilícitas o que incumplan las disposiciones adoptadas en virtud de la presente Directiva abarcan asimismo las operaciones de tratamiento que incumplan actos de ejecución adoptados en virtud de la presente Directiva. Los interesados deben recibir una compensación total y efectiva por el perjuicio sufrido.

(89) Deben imponerse sanciones a toda persona física o jurídica, ya sean de Derecho público o privado, que no cumpla la presente Directiva. Los Estados miembros deben asegurarse de que las sanciones sean efectivas, proporcionadas y disuasorias y deben tomar todas las medidas para su aplicación.

(90) Con el fin de garantizar unas condiciones uniformes para la aplicación de la presente Directiva, se deben conferir competencias de ejecución a la Comisión con objeto de especificar: el nivel adecuado de protección que ofrece un tercer país, un territorio o un sector especificado en dicho tercer país o una organización internacional; el formato y los procedimientos de asistencia mutua y a las disposiciones aplicables al intercambio electrónico de información entre las autoridades de control, y entre estas y el Comité Europeo de Protección de Datos. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo ( 2 ).

(91) Debe emplearse el procedimiento de examen para la adopción de actos de ejecución sobre el nivel adecuado de protección que ofrece un tercer país, un territorio o un sector especificado en dicho tercer país o una organización internacional así como sobre el formato y los procedimientos de asistencia mutua y las disposiciones aplicables al intercambio electrónico de información entre las autoridades de control, y entre estas y el Comité Europeo de Protección de Datos, dado que dichos actos son de alcance general.

(92) La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando así lo requieran razones perentorias, en casos debidamente justificados relacionados con un tercer país, un territorio o un sector específico en ese tercer país, o una organización internacional que ya no garanticen un nivel de protección adecuado.

(93) Dado que los objetivos de la presente Directiva, a saber, proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales y garantizar el libre intercambio de datos personales por parte de las autoridades competentes en la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a la dimensión o los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(94) No deben verse afectadas las disposiciones específicas de actos de la Unión adoptados antes de la fecha de adopción de la presente Directiva en el ámbito de la cooperación judicial en materia penal o de la cooperación policial que regulen el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información

( 1 ) Directiva 77/249/CEE del Consejo, de 22 de marzo de 1977, dirigida a facilitar el ejercicio efectivo de la libre prestación de servicios por los abogados (DO L 78 de 26.3.1977, p. 17).

( 2 ) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

establecidos con arreglo a lo dispuesto en los Tratados, como por ejemplo las disposiciones específicas relativas a la protección de los datos personales que se aplican en virtud de la Decisión 2008/615/JAI del Consejo ( 1 ), o el artículo 23 del Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea ( 2 ). Dado que el artículo 8 de la Carta y el artículo 16 del TFUE conllevan que el derecho fundamental a la protección de los datos personales debe estar garantizado de manera coherente y homogénea en toda la Unión, la Comisión debe evaluar la situación con respecto a la relación entre la presente Directiva y los actos adoptados con anterioridad a su fecha de adopción que regulan el tratamiento de los datos personales entre los Estados miembros o el acceso de las autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados, a fin de evaluar la necesidad de adaptar estas disposiciones específicas a la presente Directiva. Cuando corresponda, la Comisión debe presentar propuestas encaminadas a garantizar normas jurídicas coherentes en relación con el tratamiento de los datos personales.

(95) Con el fin de garantizar una protección amplia y coherente de los datos personales en la Unión, los acuerdos internacionales celebrados por los Estados miembros con anterioridad a la fecha de entrada en vigor de la presente Directiva y que respeten el Derecho correspondiente de la Unión aplicable antes de dicha fecha deben seguir en vigor hasta que sean modificados, sustituidos o revocados.

(96) Los Estados miembros deben poder contar con un plazo de no más de dos años desde la entrada en vigor de la presente Directiva para incorporarla a su Derecho nacional. Todo tratamiento ya iniciado en dicha fecha debe adaptarse a lo establecido en la presente Directiva en un plazo de dos años a partir de la entrada en vigor de la presente Directiva. No obstante, si dicho tratamiento cumple el Derecho de la Unión aplicable antes de la fecha de entrada en vigor de la presente Directiva, los requisitos de la presente Directiva relativos a la consulta previa a la autoridad de control no deben aplicarse a las operaciones de tratamiento ya iniciadas antes de la mencionada fecha, dado que estos requisitos, por su propia naturaleza, han cumplirse antes del tratamiento. Cuando los Estados miembros se acojan al plazo de aplicación más largo que caduca siete años después de la fecha de entrada en vigor de la presente Directiva para cumplir las obligaciones de registro aplicables a los sistemas de tratamiento automatizados establecidos con anterioridad a dicha fecha, el responsable o encargado del tratamiento deben contar con métodos eficaces de demostrar la legalidad del tratamiento de datos, de permitir el autocontrol y de asegurar la integridad y la seguridad de los datos, como las anotaciones en un registro diario.

(97) La presente Directiva se entiende sin perjuicio de las normas relativas a la lucha contra los abusos sexuales, la explotación sexual de los menores, y la pornografía infantil, tal como se establecen en la Directiva 2011/93/UE del Parlamento Europeo y del Consejo ( 3 ).

(98) Por consiguiente, la Decisión Marco 2008/977/JAI debe ser derogada en consecuencia.

(99) De conformidad con el artículo 6 bis del Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, no son vinculantes para el Reino Unido e Irlanda las normas establecidas en la presente Directiva relativas a tratamiento de datos personales por parte de los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 o el capítulo 5 del título V de la tercera parte del TFUE en la medida en que no sean vinculantes para estos Estados las normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas sobre la base del artículo 16 del TFUE.

(100) De conformidad con lo dispuesto en los artículos 2 y 2 bis del Protocolo nº 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no queda obligada por las normas establecidas en la presente Directiva que se relacionen con el tratamiento de datos personales por parte de los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 o el capítulo 5 del título V de la tercera parte del TFUE, ni está sujeta a su aplicación. Dado que la presente Directiva desarrolla el acervo de Schengen en el marco de las disposiciones del título V de la tercera parte del TFUE, de conformidad con el artículo 4 del mencionado Protocolo, Dinamarca debe decidir, en un plazo de seis meses a partir de la adopción de la presente Directiva, si lo incorpora a su legislación nacional.

(101) Por lo que se refiere a Islandia y Noruega, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen  ( 4 ) .

( 1 ) Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza (DO L 210 de 6.8.2008, p. 1).

( 2 ) Acto del Consejo, de 29 de mayo de 2000, por el que se celebra, de conformidad con el artículo 34 del Tratado de la Unión Europea, el Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (DO C 197 de 12.7.2000, p. 1). (

3 ) Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

( 4 ) DO L 176 de 10.7.1999, p. 36.

(102) Por lo que respecta a Suiza, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen ( 1 ).

(103) Por lo que respecta a Liechtenstein, la presente Directiva constituye un desarrollo de las disposiciones del acervo de Schengen, como se establece en el Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen ( 2 ).

(104) La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos en la Carta, consagrados en el TFUE, en particular el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales y el derecho a la tutela judicial efectiva y a un juez imparcial. Las limitaciones aplicadas a estos derechos son conformes al artículo 52, apartado 1, de la Carta ya que son necesarias para alcanzar objetivos de interés general reconocidos por la Unión o responden a la necesidad de proteger los derechos y libertades de terceros.

(105) De conformidad con la Declaración política conjunta, de 28 de septiembre de 2011, de los Estados miembros y de la Comisión sobre los documentos explicativos, en casos justificados, los Estados miembros se comprometen a adjuntar a la notificación de las medidas de transposición uno o varios documentos que expliquen la relación entre los componentes de una directiva y las partes correspondientes de las medidas nacionales de transposición. Tratándose de la presente Directiva, el legislador considera justificada la transmisión de dichos documentos.

(106) El Supervisor Europeo de Protección de Datos ha sido consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 y emitió un dictamen el 7 de marzo de 2012 ( 3 ).

(107) La presente Directiva no debe impedir que los Estados miembros regulen el ejercicio de los derechos de los interesados en materia de información, acceso a los datos personales, rectificación o supresión de estos y limitación de su tratamiento en el marco de un proceso penal, y las posibles restricciones de tales derechos, mediante el Derecho procesal penal nacional.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPÍTULO I.- Disposiciones generales

Artículo 1.- Objeto y objetivos

1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

2. De conformidad con la presente Directiva, los Estados miembros deberán:

a) proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y

b) garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

( 1 ) DO L 53 de 27.2.2008, p. 52.

( 2 ) DO L 160 de 18.6.2011, p. 21.

( 3 ) DO C 192 de 30.6.2012, p. 7.

3. La presente Directiva no impedirá a los Estados miembros ofrecer mayores garantías que las que en ella se establecen para la protección de los derechos y libertades del interesado con respecto al tratamiento de datos personales por parte de las autoridades competentes.

Artículo 2.- Ámbito de aplicación

1. La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines establecidos en el artículo 1, apartado 1.

2. La presente Directiva se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

3. La presente Directiva no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b) por parte de las instituciones, órganos u organismos de la Unión.

Artículo 3.- Definiciones

A efectos de la presente Directiva se entenderá por:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

3) «limitación del tratamiento»: el marcado de los datos personales conservados con el fin de limitar su tratamiento en el futuro;

4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o dispersado de forma funcional o geográfica;

7) «autoridad competente»:

a) toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, o

b) cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

8) «responsable del tratamiento» o «responsable»: la autoridad competente que sola o conjuntamente con otras determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por el Derecho de la Unión o del Estado miembro, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o del Estado miembro;

9) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

10) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerará destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o del Estado miembro; el tratamiento de tales datos por las citadas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

11) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados de otra forma;

12) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona física de que se trate;

13) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o de conducta de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

14) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

15) «autoridad de control»: una autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 41;

16) «organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

CAPÍTULO II.- Principios

Artículo 4.- Principios relativos al tratamiento de datos personales

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera lícita y leal;

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines;

c) adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;

d) exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que son tratados;

e) conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados;

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas.

2. Se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan en la medida en que:

a) el responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el Derecho de la Unión o del Estado miembro, y

b) el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el Derecho de la Unión o del Estado miembro.

3. El tratamiento por el mismo responsable o por otro podrá incluir el archivo en el interés público, el uso científico, estadístico o histórico para los fines establecidos en el artículo 1, apartado 1, con sujeción a las salvaguardias adecuadas para los derechos y libertades de los interesados.

4. El responsable del tratamiento será responsable y capaz de demostrar el cumplimiento de lo dispuesto en los apartados 1, 2 y 3.

Artículo 5,. Plazos de conservación y revisión

Los Estados miembros dispondrán que se fijen plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de los datos personales. Las normas de procedimiento garantizarán el cumplimiento de dichos plazos.

Artículo 6.- Distinción entre diferentes categorías de interesados

Los Estados miembros dispondrán que el responsable del tratamiento, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de las distintas categorías de interesados, tales como:

a) personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal;

b) personas condenadas por una infracción penal;

c) víctimas de una infracción penal o personas respecto de las cuales determinados hechos den lugar a pensar que puedan ser víctimas de una infracción penal, y

d) terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones penales o procesos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b).

Artículo 7.- Distinción entre datos personales y verificación de la calidad de los datos personales

1. Los Estados miembros dispondrán que los datos personales basados en hechos se distingan, en la medida de lo posible, de los datos personales basados en apreciaciones personales.

2. Los Estados miembros dispondrán que las autoridades competentes adopten todas las medidas razonables para garantizar que los datos personales que sean inexactos, incompletos o que no estén actualizados no se transmitan ni se pongan a disposición de terceros. Para ello, dicha autoridad competente, en la medida en que sea factible, controlará la calidad de los datos personales antes de transmitirlos o ponerlos a disposición de terceros. En la medida de lo posible, en todas las transmisiones de datos personales se añadirá la información necesaria para que la autoridad competente receptora pueda valorar en qué medida los datos personales son exactos, completos y fiables y en qué medida están actualizados.

3. Si se observara que se hubieran transmitido datos personales incorrectos o se hubieran transmitido ilegalmente, el hecho deberá ponerse en conocimiento del destinatario sin dilación. En tal caso, los datos personales deberán rectificarse o suprimirse, o el tratamiento deberá limitarse de conformidad con el artículo 16.

Artículo 8.- Licitud del tratamiento

1. Los Estados miembros dispondrán que el tratamiento solo sea lícito en la medida en que sea necesario para la ejecución de una tarea realizada por una autoridad competente, para los fines establecidos en el artículo 1, apartado 1, y esté basado en el Derecho de la Unión o del Estado miembro.

2. El Derecho del Estado miembro que regule el tratamiento dentro del ámbito de aplicación de la presente Directiva, deberá indicar al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento.

Artículo 9.- Condiciones de tratamiento específicas

1. Los datos personales recogidos por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, no serán tratados para otros fines distintos de los establecidos en el artículo 1, apartado 1 salvo que dicho tratamiento esté autorizado por el Derecho de la Unión o del Estado miembro. Cuando los datos personales sean tratados para otros fines, se aplicará el Reglamento (UE) 2016/679 a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión.

2. Cuando el Derecho del Estado miembro encomiende a las autoridades competentes el desempeño de funciones que no coincidan con los fines establecidos en el artículo 1, apartado 1, se aplicará el Reglamento (UE) 2016/679 al tratamiento con dichos fines, incluidos fines de archivo en interés público, de investigación científica e histórica o estadísticos, salvo que el tratamiento se lleve a cabo en una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión.

3. Los Estados miembros dispondrán que, cuando el Derecho de la Unión o del Estado miembro aplicable a la autoridad competente transmisora prevea condiciones específicas aplicables al tratamiento, la autoridad competente transmisora deberá informar al destinatario al que se transmitan los datos de las condiciones y la obligación de respetarlos.

4. Los Estados miembros dispondrán que la autoridad competente transmisora no aplique las condiciones del apartado 3 a los destinatarios de otros Estados miembros o a los organismos, agencias y órganos establecidos en virtud de los capítulos 4 y 5 del título V de la tercera parte del TFUE distintas de las aplicables a las transmisiones de datos similares en el Estado miembro de la autoridad competente transmisora.

Artículo 10.- Tratamiento de categorías especiales de datos personales

El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y únicamente cuando:

a) lo autorice el Derecho de la Unión o del Estado miembro;

b) sea necesario para proteger los intereses vitales del interesado o de otra persona física, o

c) dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

Artículo 11.- Mecanismo de decisión individual automatizado

1. Los Estados miembros dispondrán la prohibición de las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que estén autorizadas por el Derecho de la Unión o del Estado miembro a la que esté sujeto el responsable del tratamiento y que establezca medidas adecuadas para salvaguardar los derechos y libertades del interesado, al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento.

2. Las decisiones a que se refiere el apartado 1 del presente artículo no se basarán en las categorías especiales de datos personales contempladas en el artículo 10, salvo que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

3. La elaboración de perfiles que dé lugar a una discriminación de las personas físicas basándose en las categorías especiales de datos personales establecidas en el artículo 10 quedará prohibida, de conformidad con el Derecho de la Unión.

CAPÍTULO III.- Derechos del interesado

Artículo 12.- Comunicación y modalidades del ejercicio de los derechos de los interesados

1. Los Estados miembros dispondrán que el responsable tome medidas razonables para facilitar al interesado toda información contemplada en el artículo 13, así como cualquier comunicación contemplada en los artículos 11, 14 a 18 y 31 relativa al tratamiento, en forma concisa, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La información será facilitada por cualquier medio adecuado, inclusive por medios electrónicos. Como norma general, el responsable facilitará la información por medio idéntico al utilizado para la solicitud.

2. Los Estados miembros dispondrán que el responsable del tratamiento facilite el ejercicio de los derechos del interesado en virtud de los artículos 11 y 14 a 18.

3. Los Estados miembros dispondrán que el responsable del tratamiento informe por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud.

4. Los Estados miembros dispondrán que la información facilitada con arreglo al artículo 13 y cualquier comunicación efectuada y acción realizada en virtud de los artículos 11, 14 a 18 y 31 serán a título gratuito. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable, teniendo en cuenta los costes administrativos afrontados para facilitar la información o la comunicación o realizar la acción solicitada, o

b) negarse a actuar según lo solicitado.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

5. Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que curse la solicitud a que se refieren los artículos 14 y 16, podrá solicitar que se facilite la información complementaria necesaria para confirmar la identidad del interesado.

Artículo 13.- Información que debe ponerse a disposición del interesado o que se le debe proporcionar

1. Los Estados miembros dispondrán que el responsable del tratamiento de los datos ponga a disposición del interesado al menos la siguiente información:

a) la identidad y los datos de contacto del responsable del tratamiento;

b) en su caso, los datos de contacto del delegado de protección de datos;

c) los fines del tratamiento a que se destinen los datos personales;

d) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;

e) la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o su supresión, o la limitación de su tratamiento.

2. Además de la información indicada en el apartado 1, los Estados miembros dispondrán por ley que el responsable del tratamiento de los datos proporcione al interesado, en casos concretos, la siguiente información adicional, a fin de permitir el ejercicio de sus derechos:

a) la base jurídica del tratamiento;

b) el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo;

c) cuando corresponda, las categorías de destinatarios de los datos personales, en particular en terceros países u organizaciones internacionales;

d) cuando sea necesario, más información, en particular cuando los datos personales se hayan recogido sin conocimiento del interesado.

3. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2 siempre y cuando dicha medida constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública;

d) proteger la seguridad nacional;

e) proteger los derechos y libertades de otras personas.

4. Los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden incluirse, total o parcialmente, en cualquiera de las letras del apartado 3.

Artículo 14.- Derecho de acceso del interesado a los datos personales

Con sujeción a lo dispuesto en el artículo 15, los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso de que se confirme el tratamiento, acceso a dichos datos personales y la siguiente información:

a) los fines y la base jurídica del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales, en particular los destinatarios establecidos en terceros países o las organizaciones internacionales;

d) cuando sea posible, el plazo contemplado durante el cual se conservarán los datos personales o, de no ser posible, los criterios utilizados para determinar dicho plazo;

e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de los datos personales relativos al interesado, o la limitación de su tratamiento;

f) el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;

g) la comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen.

Artículo 15.- Limitaciones al derecho de acceso

1. Los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, el derecho de acceso del interesado siempre y cuando dicha restricción parcial o completa constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública;

d) proteger la seguridad nacional;

e) proteger los derechos y libertades de otras personas.

2. Los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden acogerse, total o parcialmente, a las exenciones del apartado 1.

3. En los casos contemplados en los apartados 1 y 2, los Estados miembros dispondrán que el responsable del tratamiento informe por escrito al interesado, sin dilación indebida, de cualquier denegación o limitación de acceso, y de las razones de la denegación o de la restricción. Esta información podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.

4. Los Estados miembros velarán por que el responsable del tratamiento documente los fundamentos de hecho o de Derecho en los que se sustente la decisión. Dicha información se pondrá a disposición de las autoridades de control.

Artículo 16.- Derecho de rectificación o supresión de datos personales y limitación de su tratamiento

1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento sin dilación indebida la rectificación de los datos personales que le conciernan cuando tales datos resulten inexactos. Teniendo en cuenta la finalidad del tratamiento, los Estados miembros dispondrán que el interesado tenga derecho a que se completen los datos personales cuando estos resulten incompletos, en particular mediante una declaración suplementaria.

2. Los Estados miembros exigirán al responsable del tratamiento suprimir los datos personales sin dilación indebida y dispondrán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan sin dilación indebida cuando el tratamiento infrinja los artículos 4, 8 o 10, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto el responsable del tratamiento.

3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando:

a) el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse la exactitud o inexactitud, o

b) los datos personales hayan de conservarse a efectos probatorios. Cuando el tratamiento esté limitado en virtud del párrafo primero, letra a), el responsable del tratamiento informará al interesado antes de levantar la limitación del tratamiento.

4. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales, o de limitación de su tratamiento, y de las razones de la denegación. Los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, la obligación de proporcionar tal información, en siempre y cuando dicha limitación del tratamiento constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública;

d) proteger la seguridad nacional;

e) proteger los derechos y libertades de otras personas.

Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.

5. Los Estados miembros dispondrán que el responsable del tratamiento comunique la rectificación de los datos personales inexactos a la autoridad competente de la que procedan los datos personales inexactos.

6. Los Estados miembros dispondrán que, cuando los datos personales hayan sido rectificados o suprimidos o el tratamiento haya sido limitado en virtud de los apartados 1, 2 y 3, el responsable del tratamiento lo notifique a los destinatarios y que estos rectifiquen o supriman los datos personales que estén bajo su responsabilidad, o limiten su tratamiento.

Artículo 17. Ejercicio de los derechos del interesado y comprobación por la autoridad de control

1. En los casos contemplados en el artículo 13, apartado 3, en el artículo 15, apartado 3, y en el artículo 16, apartado 4, los Estados miembros adoptarán medidas por las que se disponga que los derechos del interesado también puedan ejercerse a través de la autoridad de control competente.

2. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de la posibilidad de ejercer sus derechos a través de la autoridad de control con arreglo a lo dispuesto en el apartado 1.

3. Cuando se ejerza el derecho contemplado en el apartado 1, la autoridad de control informará, al menos, al interesado de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente. La autoridad de control informará también al interesado de su derecho a la tutela judicial.

Artículo 18.- Derechos del interesado en las investigaciones y los procesos penales

Los Estados miembros podrán disponer que el ejercicio de los derechos a los que se hace referencia en los artículos 13, 14 y 16 se lleve a cabo de conformidad con el Derecho del Estado miembro cuando los datos personales figuren en una resolución judicial o en un registro o expediente tramitado en el curso de investigaciones y procesos penales.

CAPÍTULO IV.- Responsable del tratamiento y encargado del tratamiento

Sección 1.- Obligaciones generales

Artículo 19.- Obligaciones del responsable del tratamiento

1. Los Estados miembros dispondrán que el responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, aplique las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento se lleva a cabo de conformidad con la presente Directiva. Tales medidas se revisarán y actualizarán cuando sea necesario.

2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

Artículo 20.- Protección de datos desde el diseño y por defecto

1. Los Estados miembros dispondrán que el responsable del tratamiento, teniendo en cuenta el estado de la técnica y el coste de la aplicación, y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento, aplique, tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como por ejemplo la seudonimización, concebidas para aplicar los principios de protección de datos, como por ejemplo la minimización de datos, de forma efectiva y para integrar las garantías necesarias en el tratamiento, de tal manera que este cumpla los requisitos de la presente Directiva y se protejan los derechos de los interesados.

2. Los Estados miembros dispondrán que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. En concreto, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles, sin intervención de la persona, a un número indeterminado de personas físicas.

Artículo 21.- Corresponsables del tratamiento

1. Los Estados miembros dispondrán que, cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y los medios de tratamiento, sean considerados corresponsables del tratamiento. Determinarán, de modo transparente y de mutuo acuerdo, cuáles serán sus responsabilidades respectivas en el cumplimiento de la presente Directiva, en particular por lo que se refiere al ejercicio de los derechos del interesado y a sus respectivas obligaciones en el suministro de la información contemplada en el artículo 13, salvo y en la medida en que las responsabilidades respectivas de los responsables se rijan por el Derecho de la Unión o del Estado miembro a que estén sujetos los responsables del tratamiento. El citado acuerdo designará el punto de contacto para los interesados. Los Estados miembros podrán designar cuál de los corresponsables puede actuar como punto único de contacto para el interesado por lo que respecta al ejercicio de sus derechos.

2. Independientemente de los términos del acuerdo a que hace referencia el apartado 1, los Estados miembros podrán disponer que el interesado pueda ejercer los derechos que le reconocen las disposiciones adoptadas con arreglo a la presente Directiva con respecto a cada uno de los responsables y frente a ellos.

Artículo 22.- Encargado del tratamiento

1. Los Estados miembros dispondrán que, cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, este recurra únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la presente Directiva y garantice la protección de los derechos del interesado.

2. Los Estados miembros dispondrán que el encargado del tratamiento no recurra a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de la autorización por escrito general, el encargado informará siempre al responsable de cualquier cambio previsto referido a la adición o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3. Los Estados miembros dispondrán que el tratamiento por un encargado se rija por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de un Estado miembro que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable. Dicho contrato u otro acto jurídico estipulará, en particular, que el encargado del tratamiento:

a) actúe únicamente siguiendo las instrucciones del responsable del tratamiento;

b) garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de confidencialidad;

c) asista al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado;

d) a elección del responsable del tratamiento, suprima o devuelva todos los datos personales al responsable del tratamiento una vez finalice la prestación de los servicios de tratamiento, y suprima las copias existentes a menos que el Derecho de la Unión o del Estado miembro requieran la conservación de los datos personales;

e) ponga a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del presente artículo;

f) respete las condiciones indicadas en los apartados 2 y 3 para contratar a otro encargado del tratamiento.

4. El contrato u otro acto jurídico a que se refiere el apartado 3 se establecerá por escrito, inclusive en formato electrónico.

5. Si un encargado del tratamiento, infringiendo la presente Directiva, determinase los fines y medios de dicho tratamiento, será considerado responsable con respecto a ese tratamiento.

Artículo 23.- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento Los Estados miembros dispondrán que el encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento y tenga acceso a datos personales, solo pueda someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por el Derecho de la Unión o de un Estado miembro.

Artículo 24.- Registros de las actividades de tratamiento

1. Los Estados miembros dispondrán que cada responsable conserve un registro de todas las categorías de actividades de tratamiento de datos personales efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información siguiente:

a) el nombre y los datos de contacto del responsable del tratamiento y, en su caso, del corresponsable y del delegado de protección de datos;

b) los fines del tratamiento;

c) las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

d) una descripción de las categorías de interesados y de las categorías de datos personales;

e) en su caso, el recurso a la elaboración de perfiles;

f) en su caso, las categorías de transferencias de datos personales a un tercer país o a una organización internacional;

g) una indicación de la base jurídica del tratamiento, incluidas las transferencias, de que van a ser objeto los datos personales;

h) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos personales;

i) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 29, apartado 1.

2. Los Estados miembros dispondrán que cada encargado del tratamiento lleve un registro de todas las categorías de actividades de tratamiento de datos personales efectuadas en nombre de un responsable, el cual contendrá:

a) el nombre y los datos de contacto del encargado o encargados del tratamiento, de cada responsable del tratamiento en cuyo nombre actúe el encargado y, si ha lugar, el delegado de protección de datos;

b) las categorías de tratamientos efectuados en nombre de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida, cuando el responsable del tratamiento así lo ordene explícitamente, la identificación de dicho tercer país o de dicha organización internacional;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 29, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 se establecerán por escrito, inclusive en formato electrónico.

El responsable y el encargado del tratamiento harán que los registros estén disponibles para la autoridad de control a solicitud de esta.

Artículo 25.- Registro de operaciones

1. Los Estados miembros velarán por que se conserven registros de, al menos, las operaciones de tratamiento en sistemas de tratamiento automatizados siguientes: recogida, alteración, consulta, comunicación incluidas las transferencias, combinación o supresión. Los registros de consulta y comunicación harán posible determinar la justificación, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó datos personales, así como la identidad de los destinatarios de dichos datos personales.

2. Dichos registros se utilizarán únicamente a efectos de verificar la legalidad del tratamiento, autocontrol, garantizar la integridad y la seguridad de los datos personales y en el ámbito de los procesos penales.

3. El responsable y el encargado del tratamiento pondrán los registros de operaciones a disposición de la autoridad de control a solicitud de esta.

Artículo 26.- Cooperación con la autoridad de control

Los Estados miembros dispondrán que el responsable y el encargado del tratamiento cooperen con la autoridad de control, cuando esta lo solicite, en el desempeño de sus funciones.

Artículo 27.- Evaluación de impacto relativa a la protección de datos

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas físicas, los Estados miembros dispondrán que el responsable del tratamiento lleve a cabo, con carácter previo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales.

2. La evaluación mencionada en el apartado 1 incluirá, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y a demostrar la conformidad con la presente Directiva, teniendo en cuenta los derechos e intereses legítimos de los interesados y las demás personas afectadas.

Artículo 28.- Consulta previa a la autoridad de control

1. Los Estados miembros velarán por que el responsable o el encargado del tratamiento consulte a la autoridad de control antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero que haya de crearse, cuando:

a) la evaluación del impacto en la protección de los datos que prevé el artículo 27 indique que el tratamiento entrañaría un alto riesgo a falta de medidas adoptadas por el responsable a fin de mitigar el riesgo, o

b) el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, constituya un alto riesgo para los derechos y libertades de los interesados.

2. Los Estados miembros dispondrán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que deba ser adoptada por un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que guarde relación con el tratamiento.

3. Los Estados miembros dispondrán que la autoridad de control pueda establecer una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1.

4. Los Estados miembros dispondrán que el responsable del tratamiento facilite a la autoridad de control la evaluación de impacto relativa a la protección de datos contemplada en el artículo 27 y, previa solicitud, cualquier información adicional que permita a la autoridad de control evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales del interesado y las garantías correspondientes.

5. Los Estados miembros dispondrán que, cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 del presente artículo podría infringir lo dispuesto en la presente Directiva, en particular cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, dicha autoridad de control deberá, en un plazo de seis semanas desde la solicitud de la consulta, asesorar por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, y podrá ejercer cualquiera de sus poderes mencionados en el artículo 47. Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado, de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación.

Sección 2.- Seguridad de los datos personales

Artículo 29.- Seguridad del tratamiento

1. Los Estados miembros dispondrán que el responsable y el encargado del tratamiento, teniendo en cuenta el estado de la técnica y los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, sobre todo en lo que se refiere al tratamiento de las categorías especiales de datos personales previstas en el artículo 10.

2. Por lo que respecta al tratamiento automatizado, cada Estado miembro dispondrá que el responsable o encargado del tratamiento, a raíz de una evaluación de los riesgos, ponga en práctica medidas destinadas a:

a) denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento (control de acceso a los equipamientos);

b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos);

c) impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control del almacenamiento);

d) impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales para los que han sido autorizados (control del acceso a los datos);

f) garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos (control de la transmisión);

g) garantizar que pueda verificarse y constatarse a posteriori qué datos personales se han introducido en los sistemas de tratamiento automatizado y en qué momento y por qué persona han sido introducidos (control de la introducción);

h) impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (restablecimiento);

j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad).

Artículo 30.- Notificación a la autoridad de control de una violación de la seguridad de los datos personales

1. Los Estados miembros dispondrán que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida, y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que la violación de la seguridad de los datos personales constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no se hace en el plazo de 72 horas, deberá ir acompañada de los motivos de la dilación.

2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación contemplada en el apartado 1 deberá, al menos:

a) describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.

4. Si no fuera posible, o en la medida en que no sea posible, facilitar la información simultáneamente, se podrá facilitar la información por etapas sin dilación indebida.

5. Los Estados miembros dispondrán que el responsable del tratamiento documente cualquier violación de la seguridad de los datos personales a que se hace referencia en el apartado 1, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas. Dicha documentación deberá permitir a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

6. Los Estados miembros dispondrán que cuando la violación de la seguridad de los datos personales tenga que ver con datos que hayan sido transmitidos por el responsable del tratamiento o al responsable del tratamiento de otro Estado miembro, la información a que se refiere el apartado 3 se comunique al responsable del tratamiento de este Estado miembro sin dilación indebida.

Artículo 31.- Comunicación de una violación de la seguridad de los datos personales al interesado

1. Los Estados miembros dispondrán que, cuando sea probable que la violación de la seguridad de los datos personales vaya a dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento comunique al interesado, sin dilación indebida, la violación de la seguridad de los datos personales.

2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá con un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá, al menos, la información y las medidas a que se refiere el artículo 30, apartado 3, letras b), c) y d).

3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y dichas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades del interesado a que hace referencia el apartado 1;

c) suponga un esfuerzo desproporcionado. En este supuesto, se optará a cambio por una comunicación pública o una medida semejante mediante la cual se informe a los interesados de manera igualmente efectiva.

4. Cuando el responsable del tratamiento no haya comunicado todavía al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación suponga un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones que cita el apartado 3.

5. La comunicación al interesado a que se hace referencia en el apartado 1 del presente artículo podrá aplazarse, limitarse u omitirse con sujeción a las condiciones y por los motivos que se contemplan en el artículo 13, apartado 3.

Sección 3.- Delegado de protección de datos

Artículo 32.- Designación del delegado de protección de datos

1. Los Estados miembros dispondrán que el responsable del tratamiento designe un delegado de protección de datos. Los Estados miembros podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales.

2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para desempeñar las funciones contempladas en el artículo 34.

3. Podrá designarse a un único delegado de protección de datos para varias autoridades competentes teniendo en cuenta la estructura organizativa y tamaño de estas.

4. Los Estados miembros dispondrán que el responsable del tratamiento publique los datos de contacto del delegado de protección de datos y los comunique a la autoridad de control.

Artículo 33.- Posición del delegado de protección de datos

1. Los Estados miembros dispondrán que el responsable del tratamiento vele por que el delegado de protección de datos participe adecuada y oportunamente en todas las cuestiones relativas a la protección de datos personales.

2. El responsable del tratamiento respaldará al delegado de protección de datos en el desempeño de las funciones contempladas en el artículo 34 facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, así como para mantener sus conocimientos especializados.

Artículo 34.- Funciones del delegado de protección de datos

Los Estados miembros dispondrán que el responsable del tratamiento encomiende al delegado de protección de datos, como mínimo, las siguientes funciones:

a) informar y asesorar al responsable del tratamiento y a los empleados que se ocupen del mismo de las obligaciones que les incumben en virtud de la presente Directiva y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en la presente Directiva, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización de conformidad con el artículo 27;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento, incluida la consulta previa a que hace referencia el artículo 28, y realizar consultas, en su caso, sobre cualquier otro asunto.

CAPÍTULO V.- Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 35.- Principios generales de las transferencias de datos personales

1. Los Estados miembros dispondrán que cualquier transferencia de datos personales por las autoridades competentes en curso de tratamiento o que vayan a tratarse después de su transferencia a un tercer país o a una organización internacional, incluidas las transferencias ulteriores a otro tercer país u otra organización internacional, pueda realizarse en cumplimiento de las disposiciones nacionales adoptadas a tenor de otras disposiciones de la presente Directiva, solamente cuando se hayan cumplido las condiciones previstas en el presente capítulo, esto es:

a) la transferencia sea necesaria a los fines establecidos en el artículo 1, apartado 1;

b) los datos personales se transfieran a un responsable del tratamiento de un tercer país u organización internacional que sea una autoridad pública competente a los fines mencionados en el artículo 1, apartado 1;

c) en caso de que los datos personales se transmitan o procedan de otro Estado miembro, dicho Estado miembro haya dado su autorización previa para la transferencia de conformidad con el Derecho nacional:

d) la Comisión haya adoptado una decisión de adecuación con arreglo al artículo 36 o, a falta de dicha decisión, cuando las garantías apropiadas se obtengan o existan de conformidad con el artículo 37 o, a falta de una decisión de adecuación en virtud del artículo 36 y de las garantías apropiadas de conformidad con el artículo 37, se apliquen excepciones para situaciones específicas de conformidad con el artículo 38, y

e) cuando se trate de una transferencia ulterior a otro tercer país u organización internacional, la autoridad competente que haya efectuado la transferencia inicial u otra autoridad competente del mismo Estado miembro autorice la transferencia ulterior, una vez considerados debidamente todos los factores pertinentes, entre estos la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos personales y el nivel de protección de los datos personales existente en el tercer país u organización internacional a los que se transfieran ulteriormente los datos personales.

2. Los Estados miembros dispondrán que las transferencias sin autorización previa de otro Estado miembro según lo dispuesto en el apartado 1, letra c), solo se permitan si la transferencia de datos personales es necesaria a fin de prevenir una amenaza inmediata y grave para la seguridad pública de un Estado miembro, o de un tercer país, o para los intereses fundamentales de un Estado miembro, y la autorización previa no puede conseguirse a su debido tiempo. Se informará sin dilación a la autoridad responsable de conceder la autorización previa.

3. Todas las disposiciones del presente capítulo se aplicarán a fin de garantizar que no se menoscabe el nivel de protección de las personas físicas que garantiza la presente Directiva.

Artículo 36.- Transferencias basadas en una decisión de adecuación

1. Los Estados miembros dispondrán que pueda realizarse una transferencia de datos personales a un tercer país o una organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los elementos siguientes:

a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluidas la seguridad pública, la defensa, la seguridad nacional, el Derecho penal y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de los datos, las normas profesionales y las medidas de seguridad, incluidas las normas para las transferencias ulteriores de datos personales a otro tercer país u organización internacional que se apliquen en el tercer país o en la organización internacional en cuestión, la jurisprudencia, así como los derechos del interesado efectivos y exigibles y un derecho de recurso administrativo y judicial efectivo de los interesados cuyos datos personales son transferidos;

b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las que esté sujeta una organización internacional, con la responsabilidad de garantizar y ejecutar el cumplimiento de las normas en materia de protección de datos, incluidos los poderes ejecutivos adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de los Estados miembros, y

c) los compromisos internacionales asumidos por el tercer país o la organización internacional correspondiente, u otras obligaciones que deriven de convenios o instrumentos jurídicamente vinculantes o de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de datos personales.

3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución contendrá un mecanismo para su revisión periódica, como mínimo cada cuatro años, que tendrá en cuenta todos los acontecimientos que sean de interés en el tercer país u organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial y, cuando proceda, determinará cuál es la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 58, apartado 2.

4. La Comisión supervisará de forma permanente los acontecimientos en los terceros países y organizaciones internacionales que pudiesen afectar al funcionamiento de las decisiones adoptadas en virtud del apartado 3.

5. Cuando así lo revele la información disponible, en particular a raíz de la revisión prevista en el apartado 3 del presente artículo, la Comisión podrá decidir que un tercer país, o uno o más sectores específicos en ese tercer país, o una organización internacional han dejado de garantizar un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo y podrá, en caso necesario, derogar, modificar o suspender la decisión a que se refiere el apartado 3 del presente artículo, mediante actos de ejecución, sin efecto retroactivo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen contemplado en el artículo 58, apartado 2.

Por razones imperiosas de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento contemplado en el artículo 58, apartado 3.

6. La Comisión entablará consultas con el tercer país o la organización internacional con vistas a poner remedio a la situación que haya originado la decisión adoptada de conformidad con lo dispuesto en el apartado 5.

7. Los Estados miembros dispondrán que toda decisión de conformidad con lo dispuesto en el apartado 5 del presente artículo se entienda sin perjuicio de las transferencias de datos personales al tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de lo dispuesto en los artículos 37 y 38.

8. La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de los terceros países, territorios y sectores específicos en un tercer país, y de las organizaciones internacionales para los que haya decidido que sigue o no garantizado un nivel de protección adecuado.

Artículo 37.- Transferencias mediante garantías apropiadas

1. En ausencia de una decisión con arreglo a lo dispuesto en el artículo 36, apartado 3, los Estados miembros dispondrán que pueda producirse una transferencia de datos personales a un tercer país o una organización internacional cuando:

a) se hayan aportado garantías apropiadas con respecto a la protección de datos personales en un instrumento jurídicamente vinculante, o

b) el responsable del tratamiento haya evaluado todas las circunstancias que concurren en la transferencia de datos personales y hayan llegado a la conclusión de que existen garantías apropiadas con respecto a la protección de datos personales.

2. El responsable del tratamiento informará a la autoridad de control acerca de las categorías de transferencias a tenor del apartado 1, letra b).

3. Cuando las transferencias se basen en lo dispuesto en el apartado 1, letra b), deberán documentarse y la documentación se pondrá a disposición de la autoridad de control previa solicitud, con inclusión de la fecha y la hora de la transferencia, información sobre la autoridad competente destinataria, la justificación de la transferencia y los datos personales transferidos.

Artículo 38.- Excepciones para situaciones específicas

1. En ausencia de una decisión de adecuación de conformidad con el artículo 36, o de garantías apropiadas de conformidad con el artículo 37, los Estados miembros dispondrán que pueda procederse a una transferencia o categoría de transferencias de datos personales a un tercer país o una organización internacional únicamente cuando la transferencia sea necesaria:

a) para proteger los intereses vitales del interesado o de otra persona;

b) para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales;

c) para prevenir una amenaza grave e inmediata para la seguridad pública de un Estado miembro o de un tercer país;

d) en casos individuales a efectos del artículo 1, apartado 1, o

e) en un caso individual para el establecimiento, el ejercicio o la defensa de acciones legales en relación con los fines expuestos en el artículo 1, apartado 1.

2. Los datos personales no se transferirán si la autoridad competente de la transferencia determina que los derechos y libertades fundamentales del interesado en cuestión prevalecen sobre el interés público en la transferencia establecido en las letras d) y e) del apartado 1.

3. Cuando las transferencias se basen en lo dispuesto en el apartado 1, deberán documentarse y la documentación se pondrá a disposición, previa solicitud, de la autoridad de control, con inclusión de la fecha y la hora de la transferencia, información sobre la autoridad competente destinataria, la justificación de la transferencia y los datos personales transferidos.

Artículo 39.- Transferencias de datos personales a destinatarios establecidos en terceros países

1. No obstante lo dispuesto en el artículo 35, apartado 1, letra b), y sin perjuicio de todo acuerdo internacional mencionado en el apartado 2 del presente artículo, el Derecho de la Unión o del Estado miembro podrá disponer que las autoridades competentes que cita el artículo 3, punto 7, letra a), en casos particulares y específicos, transfieran datos personales directamente a destinatarios establecidos en terceros países únicamente si se cumplen las demás disposiciones de la presente Directiva y se satisfacen todas las condiciones siguientes:

a) la transferencia sea estrictamente necesaria para la realización de una función de la autoridad competente de la transferencia según dispone el Derecho de la Unión o del Estado miembro a los fines expuestos en el artículo 1, apartado 1;

b) la autoridad competente de la transferencia determine que ninguno de los derechos y libertades fundamentales del interesado en cuestión son superiores al interés público que precise de la transferencia de que se trate;

c) la autoridad competente de la transferencia considere que la transferencia a una autoridad competente del tercer país a los fines que contempla el artículo 1, apartado 1, resulta ineficaz o inadecuada, sobre todo porque no pueda efectuarse dentro de plazo;

d) se informe sin dilación indebida a la autoridad competente del tercer país a los fines que contempla el artículo 1, apartado 1, a menos que ello sea ineficaz o inadecuado;

e) la autoridad competente de la transferencia informe al destinatario de la finalidad o finalidades específicas por las que los datos personales vayan a tratarse por esta última solamente cuando dicho tratamiento sea necesario.

2. Por acuerdo internacional mencionado en el apartado 1 se entenderá todo acuerdo internacional bilateral o multinacional en vigor entre los Estados miembros y terceros países en el ámbito de la cooperación judicial en asuntos penales y de la cooperación policial.

3. La autoridad competente de la transferencia informará a la autoridad de control acerca de las transferencias efectuadas a tenor del presente artículo.

4. Cuando las transferencias se basen en el apartado 1, deberán documentarse.

Artículo 40.- Cooperación internacional en el ámbito de la protección de datos personales En relación con los terceros países y las organizaciones internacionales, la Comisión y los Estados miembros tomarán medidas apropiadas para:

a) crear mecanismos de cooperación internacional que faciliten la aplicación efectiva de la legislación relativa a la protección de datos personales;

b) prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías apropiadas para la protección de los datos personales y otros derechos y libertades fundamentales;

c) procurar la participación de las correspondientes partes interesadas en los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;

d) promover el intercambio y la documentación de la legislación y prácticas en materia de protección de datos personales, inclusive en los conflictos jurisdiccionales con terceros países.

CAPÍTULO VI.- Autoridades de control independientes

Sección 1.- Independencia

Artículo 41.- Autoridad de control

1. Cada Estado miembro dispondrá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación de la presente Directiva, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de datos personales en la Unión (en lo sucesivo, «autoridad de control»).

2. Cada autoridad de control contribuirá a la aplicación coherente de la presente Directiva en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión de conformidad con el capítulo VII.

3. Los Estados miembros podrán disponer que una autoridad de control creada en virtud del Reglamento (UE) 2016/679 pueda ser la autoridad de control mencionada en la presente Directiva y asuma la responsabilidad de las funciones de la autoridad de control que vayan a crearse de conformidad con el apartado 1 del presente artículo.

4. Cuando en un Estado miembro estén establecidas varias autoridades de control, dicho Estado miembro designará la autoridad de control que vaya a representar a dichas autoridades en el Comité Europeo de Protección de Datos a que se refiere el artículo 51.

Artículo 42.- Independencia

1. Los Estados miembros velarán por que cada autoridad de control actúe con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con la presente Directiva.

2. Los Estados miembros dispondrán que el miembro o miembros de sus autoridades de control, en el cumplimiento de sus funciones y el ejercicio de sus poderes de conformidad con la presente Directiva, se mantengan libres de toda influencia exterior, tanto directa como indirecta, y no soliciten ni acepten instrucciones de nadie.

3. Los miembros de las autoridades de control de los Estados miembros se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada.

4. Los Estados miembros velarán por que cada autoridad de control disponga de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité Europeo de Protección de Datos.

5. Los Estados miembros velarán por que cada autoridad de control disponga de su propio personal, designado por ella, que estará sujeto a la dirección exclusiva del miembro o miembros de la autoridad de control de que se trate.

6. Los Estados miembros velarán por que cada autoridad de control esté sujeta a control financiero, sin que ello afecte a su independencia y disponga de un presupuesto separado, público y anual, que podrá formar parte del presupuesto general estatal o nacional.

Artículo 43.- Condiciones generales aplicables a los miembros de la autoridad de control

1. Los Estados miembros dispondrán que cada miembro de su autoridad de control sea nombrado mediante un procedimiento transparente por:

— su Parlamento,

— su Gobierno,

— su Jefe de Estado, o

— un organismo independiente encargado del nombramiento en virtud del Derecho del Estado miembro.

2. Cada miembro poseerá las cualificaciones, la experiencia y las aptitudes, especialmente en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus obligaciones y el ejercicio de sus poderes.

3. Las obligaciones de los miembros terminarán cuando expire su mandato o en caso de dimisión o jubilación obligatoria de conformidad con el Derecho del Estado miembro de que se trate.

4. Un miembro solamente podrá ser destituido en caso de conducta irregular grave o si deja de reunir las condiciones exigidas para el cumplimiento de sus obligaciones.

Artículo 44.- Normas relativas al establecimiento de la autoridad de control

1. Cada Estado miembro dispondrá por ley todos los elementos indicados a continuación:

a) el establecimiento de cada autoridad de control;

b) las cualificaciones y condiciones de idoneidad requeridas para ser nombrado miembro de cada autoridad de control;

c) las normas y los procedimientos para el nombramiento del miembro o miembros de cada autoridad de control;

d) la duración del mandato del miembro o miembros de cada autoridad de control, que no será inferior a cuatro años, salvo los primeros nombramientos después del 6 de mayo de 2016, algunos de los cuales podrán ser más breves cuando ello sea necesario para proteger la independencia de la autoridad de control por medio de un procedimiento de nombramientos espaciados;

e) el carácter renovable o no del mandato del miembro o miembros de cada autoridad de control y, en su caso, el número de veces que podrá renovarse;

f) las condiciones por las que se rigen las obligaciones del miembro o miembros y del personal de cada autoridad de control, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo y las normas que rigen el cese en el empleo.

2. El miembro o miembros y el personal de cada autoridad de control estarán sujetos, conforme al Derecho de la Unión o del Estado miembro, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes. Durante su mandato, este deber de secreto profesional se aplicará en particular a la información que faciliten las personas físicas sobre infracciones de la presente Directiva.

Sección 2.- Competencia, funciones y poderes

Artículo 45.- Competencia

1. Los Estados miembros dispondrán que cada autoridad de control sea competente para desempeñar las funciones asignadas y ejercer los poderes que se le confieran de conformidad con la presente Directiva en el territorio de su Estado miembro.

2. Los Estados miembros dispondrán que cada autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el ejercicio de su función judicial. Los Estados miembros podrán disponer que su autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por otras autoridades judiciales independientes en el ejercicio de su función judicial.

Artículo 46 Funciones

1. Los Estados miembros dispondrán que cada autoridad de control esté facultada en su territorio para:

a) supervisar y hacer cumplir la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución;

b) promover la sensibilización y la comprensión del público acerca de los riesgos, normas, garantías y derechos relativos al tratamiento;

c) asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos, acerca de las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;

d) promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud de la presente Directiva;

e) previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud de la presente Directiva y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;

f) tratar las reclamaciones presentadas por un interesado o un organismo, organización o asociación de conformidad con el artículo 55, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

g) controlar la licitud del tratamiento con arreglo a lo dispuesto en el artículo 17 e informar al interesado en un plazo razonable sobre el resultado del control, de conformidad con el artículo 17, apartado 3, o sobre los motivos por los que no se ha llevado a cabo;

h) cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de velar por la coherencia en la aplicación y ejecución de la presente Directiva;

i) llevar a cabo investigaciones sobre la aplicación de la presente Directiva, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

j) hacer un seguimiento de acontecimientos que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación;

k) prestar asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 28, y

l) contribuir a las actividades del Comité Europeo de Protección de Datos.

2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como el suministro de un formulario de reclamaciones que pueda también cumplimentarse por vía electrónica, sin excluir otros medios de comunicación.

3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y para el delegado de protección de datos.

4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá cobrar una tasa razonable basada en los costes administrativos, o negarse a actuar respecto de la solicitud. La carga de la demostración del carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control.

Artículo 47.- Poderes

1. Cada Estado miembro dispondrá por ley que su autoridad de control tenga poderes de investigación efectivos. Dichos poderes incluirán al menos el poder de obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales que se están tratando y a toda la información necesaria para el desempeño de sus funciones.

2. Cada Estado miembro dispondrá por ley que su autoridad de control tenga poderes correctivos efectivos como, por ejemplo:

a) formular a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir las disposiciones adoptadas con arreglo a la presente Directiva;

b) ordenar al responsable o encargado del tratamiento que haga conformes las operaciones de tratamiento a las disposiciones adoptadas con arreglo a la presente Directiva, si procede, de una determinada manera y dentro de un plazo especificado, en particular ordenando la rectificación o la supresión de datos personales, o la limitación de su tratamiento con arreglo al artículo 16;

c) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.

3. Cada Estado miembro dispondrá por ley que su autoridad de control tenga poderes consultivos efectivos para asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 28 y emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional y su Gobierno o, conforme al Derecho del Estado miembro, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales.

4. El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y del Estado miembro de conformidad con la Carta.

5. Cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de la presente Directiva y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir las disposiciones adoptadas con arreglo a la presente Directiva.

Artículo 48.- Notificación de infracciones

Los Estados miembros dispondrán que las autoridades competentes establezcan mecanismos eficaces que fomenten la notificación confidencial de infracciones a la presente Directiva.

Artículo 49.- Informe de actividad

Cada autoridad de control elaborará un informe anual sobre sus actividades, que podrá incluir una lista de los tipos de infracciones notificadas y de tipos de las sanciones impuestas. Los informes se transmitirán al Parlamento nacional, al Gobierno y a las demás autoridades designadas en virtud del Derecho del Estado miembro. Se pondrán a disposición del público, de la Comisión y del Comité Europeo de Protección de Datos.

CAPÍTULO VII.- Cooperación

Artículo 50.- Asistencia mutua

1. Los Estados miembros dispondrán que sus autoridades de control se faciliten entre sí información útil y se presten asistencia mutua a fin de aplicar la presente Directiva de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo consultas, inspecciones e investigaciones.

2. Los Estados miembros dispondrán que cada autoridad de control adopte todas las medidas apropiadas requeridas para responder a la solicitud de otra autoridad de control sin dilación indebida y a más tardar en el plazo de un mes tras haber recibido la solicitud. Dichas medidas podrán incluir, en particular, la transmisión de información pertinente sobre el desarrollo de una investigación.

3. Las solicitudes de asistencia deberán contener toda la información necesaria, entre otras cosas respecto de la finalidad y los motivos de la solicitud. La información que se intercambie se utilizará únicamente para el fin para el que haya sido solicitada.

4. La autoridad de control requerida no podrá negarse a responder a una solicitud, salvo si:

a) no es competente en relación con el objeto de la solicitud o con las medidas cuya ejecución se solicita, o

b) el hecho de atender la solicitud infringiría la presente Directiva o el Derecho de la Unión o del Estado miembro al que esté sujeta la autoridad de control que haya recibido la solicitud.

5. La autoridad de control requerida informará a la autoridad de control requirente de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adoptadas para responder a su solicitud. La autoridad de control requerida explicará los motivos de su negativa a responder a una solicitud al amparo del apartado 4.

6. Como norma general, las autoridades de control requeridas facilitarán la información solicitada por otras autoridades de control por vía electrónica, utilizando un formato normalizado.

7. Las autoridades de control requeridas no cobrarán tasa alguna por las medidas adoptadas a raíz de una solicitud de asistencia mutua. Las autoridades de control podrán convenir normas de indemnización recíproca por gastos específicos derivados de la prestación de asistencia mutua en circunstancias excepcionales.

8. La Comisión podrá especificar, mediante actos de ejecución, el formato y los procedimientos de asistencia mutua contemplados en el presente artículo, así como las modalidades del intercambio de información por vía electrónica entre las autoridades de control y entre las autoridades de control y el Comité Europeo de Protección de Datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 58, apartado 2.

Artículo 51.- Funciones del Comité Europeo de Protección de Datos

1. El Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 ejercerá, dentro del ámbito de aplicación de la presente Directiva, las siguientes funciones en relación con el tratamiento de datos:

a) asesorará a la Comisión sobre toda cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación de la presente Directiva;

b) examinará, a iniciativa propia o a instancia de uno de sus miembros o de la Comisión, cualquier cuestión relativa a la aplicación de la presente Directiva, y emitirá directrices, recomendaciones y buenas prácticas, a fin de promover la aplicación coherente de la presente Directiva;

c) formulará directrices para las autoridades de control, relativas a la aplicación de las medidas contempladas en el artículo 47, apartados 1 y 3;

d) emitirá directrices, recomendaciones y buenas prácticas, con arreglo a la letra b) del presente párrafo a fin de establecer las violaciones de la seguridad de los datos personales y determinar la dilación indebida que contempla el artículo 30, apartados 1 y 2, así como las circunstancias particulares en las que el responsable o el encargado del tratamiento debe notificar la violación de la seguridad de los datos personales;

e) emitirá directrices, recomendaciones y buenas prácticas, con arreglo a la letra b) del presente párrafo en cuanto a las circunstancias en las que sea probable que la violación de la seguridad de los datos personales vaya a tener como resultado un alto riesgo para los derechos y libertades de las personas físicas a tenor del artículo 31, apartado 1;

f) examinará la aplicación práctica de las directrices, recomendaciones y buenas prácticas contempladas en las letras b) y c);

g) facilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un tercer país, un territorio o uno o varios sectores específicos en un tercer país o una organización internacional, incluso para evaluar si dicho tercer país, territorio, sector específico u organización internacional han dejado de garantizar un nivel de protección adecuado;

h) promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de buenas prácticas entre las autoridades de control;

i) promoverá programas de formación comunes y facilitará los intercambios de personal entre las autoridades de control y, cuando proceda, con las autoridades de control de terceros países o con organizaciones internacionales;

j) promoverá el intercambio de conocimientos y documentación sobre legislación y prácticas en materia de protección de datos con las autoridades de control encargadas de la protección de datos a escala mundial.

Respecto del párrafo primero, letra g), la Comisión facilitará al Comité Europeo de Protección de Datos toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, el territorio o el sector específico en dicho tercer país, o la organización internacional.

2. Cuando la Comisión solicite asesoramiento del Comité Europeo de Protección de Datos podrá señalar un plazo teniendo en cuenta la urgencia del asunto.

3. El Comité Europeo de Protección de Datos transmitirá sus dictámenes, directrices, recomendaciones y buenas prácticas a la Comisión y al comité contemplado en el artículo 58, apartado 1, y los hará públicos.

4. La Comisión informará al Comité Europeo de Protección de Datos de las medidas que haya adoptado siguiendo los dictámenes, directrices, recomendaciones y buenas prácticas emitidos por dicho Comité.

CAPÍTULO VIII.- Recursos, responsabilidad y sanciones

Artículo 52.- Derecho a presentar una reclamación ante una autoridad de control

1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, los Estados miembros dispondrán que todo interesado tenga derecho a presentar una reclamación ante una única autoridad de control, si considera que el tratamiento de sus datos personales infringe las disposiciones adoptadas en virtud de la presente Directiva.

2. Los Estados miembros dispondrán que, si la reclamación no se presenta ante la autoridad de control que sea competente según el artículo 45, apartado 1, la autoridad de control ante la que se haya presentado la reclamación la transmita a la autoridad de control competente sin dilación indebida. Se informará al interesado de la transmisión.

3. Los Estados miembros dispondrán que la autoridad de control ante la que se haya presentado la reclamación proporcione asistencia adicional a petición del interesado.

4. La autoridad de control competente informará al interesado sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de la tutela judicial en virtud del artículo 53.

Artículo 53.- Derecho a la tutela judicial efectiva contra una autoridad de control

1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, los Estados miembros dispondrán que toda persona física o jurídica tenga derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control competente con arreglo al artículo 45, apartado 1, no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 52.

3. Los Estados miembros dispondrán que las acciones contra una autoridad de control deban ejercitarse ante los órganos jurisdiccionales del Estado miembro en que esté establecida la autoridad de control.

Artículo 54.- Derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento

Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control con arreglo al artículo 52, los Estados miembros reconocerán el derecho que asiste a todo interesado a la tutela judicial efectiva si considera que sus derechos establecidos en disposiciones adoptadas con arreglo a la presente Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones.

Artículo 55.- Representación de los interesados

Los Estados miembros, de conformidad con el Derecho procesal del Estado miembro, dispondrán que el interesado tenga derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro, que haya sido correctamente constituida con arreglo al Derecho del Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente la reclamación en su nombre y ejerza los derechos contemplados en los artículos 52, 53 y 54 en su nombre.

Artículo 56.- Derecho a indemnización

Los Estados miembros dispondrán que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una operación de tratamiento ilícito o de cualquier acto que vulnere las disposiciones nacionales adoptadas con arreglo a la presente Directiva tenga derecho a recibir una indemnización del responsable o de cualquier autoridad competente en virtud del Derecho del Estado miembro por los daños y perjuicios sufridos.

Artículo 57.- Sanciones

Los Estados miembros establecerán las normas en materia de sanciones aplicables a las infracciones de las disposiciones adoptadas con arreglo a la presente Directiva y tomarán todas las medidas necesarias para garantizar su cumplimiento. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias.

CAPÍTULO IX.- Actos de ejecución

Artículo 58.- Procedimiento de comité

1. La Comisión estará asistida por el comité establecido por el artículo 93 del Reglamento (UE) 2016/679. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2. Cuando se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº 182/2011.

3. Cuando se haga referencia al presente apartado, se aplicará el artículo 8 del Reglamento (UE) nº 182/2011, en relación con su artículo

CAPÍTULO X.- Disposiciones finales

Artículo 59.- Derogación de la Decisión Marco 2008/977/JAI

1. Queda derogada la Decisión Marco 2008/977/JAI del Consejo con efecto a partir del 6 de mayo de 2018.

2. Las referencias a la Decisión derogada que se menciona en el apartado 1 se entenderán hechas a la presente Directiva.

Artículo 60.- Actos jurídicos de la Unión en vigor

Las disposiciones específicas relativas a la protección de datos personales en actos jurídicos de la Unión que entraron en vigor antes del 6 de mayo de 2016 en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, que regulen el tratamiento entre los Estados miembros y el acceso de autoridades designadas de los Estados miembros a los sistemas de información establecidos con arreglo a lo dispuesto en los Tratados en el ámbito de la presente Directiva no se verán afectadas.

Artículo 61.- Relación con acuerdos internacionales celebrados con anterioridad en el ámbito de la cooperación judicial en materia penal y de la cooperación policial

Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales que hubieren sido celebrados por los Estados miembros antes del 6 de mayo de 2016 y que cumplan lo dispuesto en el Derecho de la Unión aplicable antes de dicha fecha seguirán en vigor hasta que sean modificados, sustituidos o revocados.

Artículo 62.- Informes de la Comisión

1. A más tardar el 6 de mayo de 2022 y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión de la presente Directiva. Los informes se harán públicos.

2. En el marco de las evaluaciones y revisiones a que se refiere el apartado 1, la Comisión estudiará en particular la aplicación y el funcionamiento del capítulo V sobre la transferencia de datos personales a terceros países u organizaciones internacionales, prestando especial atención a las decisiones adoptadas en virtud del artículo 36, apartado 3, y del artículo 39.

3. A los efectos de los apartados 1 y 2, la Comisión podrá solicitar información a los Estados miembros y a las autoridades de control.

4. Al realizar las evaluaciones y revisiones a que hacen referencia los apartados 1 y 2, la Comisión tendrá en cuenta las posiciones y las conclusiones del Parlamento Europeo, del Consejo y de los demás órganos o fuentes pertinentes.

5. La Comisión presentará, si procede, las propuestas oportunas para modificar la presente Directiva, en particular teniendo en cuenta la evolución de las tecnologías de la información y a la luz de los progresos de la sociedad de la información.

6. Antes del 6 de mayo de 2019, la Comisión revisará otros actos jurídicos adoptados por la Unión que regulen el tratamiento por parte de las autoridades competentes a los efectos expuestos en el artículo 1, apartado 1, con inclusión de los actos a que se refiere el artículo 60, a fin de evaluar la necesidad de aproximarlos a las disposiciones de la presente Directiva, y presentará, en su caso, las propuestas necesarias para modificar dichos actos para garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación de la presente Directiva.

Artículo 63.- Transposición

1. Los Estados miembros adoptarán y publicarán, a más tardar el 6 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones. Aplicarán dichas disposiciones a partir del 6 de mayo de 2018.

Cuando los Estados miembros adopten dichas disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. No obstante lo dispuesto en el apartado 1, los Estados miembros podrán disponer que excepcionalmente y cuando suponga un esfuerzo desproporcionado, los sistemas de tratamiento automatizado establecidos con anterioridad al 6 de mayo de 2016 sean conformes con el artículo 25, apartado 1, antes del 6 de mayo de 2023.

3. No obstante lo dispuesto en los apartados 1 y 2 del presente artículo, en circunstancias excepcionales, un Estado miembro podrá adaptar al artículo 25, apartado 1, un sistema de tratamiento automatizado a que se refiere el apartado 2 del presente artículo dentro de un plazo determinado después del período previsto en el apartado 2 del presente artículo, si de no hacer así surgieran serias dificultades para el funcionamiento de ese sistema de tratamiento automatizado concreto. Notificará a la Comisión los motivos de esas serias dificultades así como los del período específico dentro del cual adaptará ese sistema de tratamiento automatizado concreto a lo dispuesto en el artículo 25, apartado 1. En cualquier caso, el período determinado no podrá ser posterior al 6 de mayo de 2026.

4. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 64.- Entrada en vigor

La presente Directiva entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Artículo 65.- Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en Bruselas, el 27 de abril de 2016.

Por el Parlamento Europeo El Presidente M. SCHULZ

Por el Consejo La Presidenta J.A. HENNIS-PLASSCHAER

 

22May/01

Directiva 2001/29/CE

Directiva 2001/29/CE, del Parlamento Europeo y del Consejo de 22 de mayo de 2001, sobre la armonización de algunos aspectos del derecho de autor y derechos conexos en la sociedad de la información. (DO L 167 de 22.6.2001, p. 10/19).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y en particular el apartado 2 de su artículo 47 y sus artículos 55 y 95,

Vista la propuesta de la Comisión (1),

Visto el dictamen del Comité Económico y Social (2),

De conformidad con el procedimiento establecido en el artículo 251 del Tratado (3),

Considerando lo siguiente:

(1) El Tratado prevé la creación de un mercado interior y la instauración de un sistema que garantice que la competencia dentro del mercado interior no sea falseada. La armonización de las normativas de los Estados miembros sobre los derechos de autor y derechos afines a los derechos de autor contribuye a la realización de estos objetivos.

(2) En su reunión de Corfú del 24 y 25 de junio de 1994, el Consejo Europeo hizo hincapié en la necesidad de crear un marco jurídico general y flexible de ámbito comunitario para fomentar el desarrollo de la sociedad de la información en Europa. Para ello, es necesario, entre otras cosas, disponer de un mercado interior para los nuevos productos y servicios. Se han adoptado ya, o se encuentran en vías de adopción, normas comunitarias importantes para el establecimiento de dicho marco normativo. Los derechos de autor y derechos afines a los derechos de autor desempeñan un papel importante en este contexto, al proteger y estimular el desarrollo y la comercialización de nuevos productos y servicios y la creación y explotación de su contenido creativo.

(3) La armonización propuesta contribuye a la aplicación de las cuatro libertades del mercado interior y se inscribe en el respeto de los principios generales del Derecho y, en particular, el derecho de propiedad, incluida la propiedad intelectual, la libertad de expresión y el interés general.

(4) La existencia de un marco jurídico armonizado en materia de derechos de autor y de derechos afines a los derechos de autor fomentará, mediante un mayor grado de seguridad jurídica y el establecimiento de un nivel elevado de protección de la propiedad intelectual, un aumento de la inversión en actividades de creación e innovación, incluida la infraestructura de red, lo que a su vez se traducirá en el desarrollo de la industria europea y en el incremento de su competitividad, tanto por lo que respecta al ámbito del suministro de contenido y de la tecnología de la información como, de modo más general, a una amplia gama de sectores de la industria y la cultura. Esta situación preservará el empleo e impulsará la creación de nuevos puestos de trabajo.

(5) El desarrollo tecnológico ha multiplicado y diversificado los vectores de creación, producción y explotación. Si bien la protección de la propiedad intelectual no requiere que se definan nuevos conceptos, las actuales normativas en materia de derechos de autor y derechos afines a los derechos de autor deben adaptarse y completarse para responder adecuadamente a realidades económicas tales como las nuevas formas de explotación.

(6) Sin una armonización a nivel comunitario, las actividades legislativas a nivel nacional, que se han emprendido ya en algunos Estados miembros para hacer frente a los desafíos tecnológicos, pueden crear diferencias significativas de protección y, por ende, restringir la libre circulación de los servicios o productos que incorporen obras protegidas o se basen en ellas, dando lugar a una nueva fragmentación del mercado interior y a incoherencias de orden legislativo. Las repercusiones de tales diferencias legislativas y de esta inseguridad jurídica resultarán más significativas a medida que siga desarrollándose la sociedad de la información, que ya ha dado lugar a un considerable aumento de la explotación transfronteriza de la propiedad intelectual. Dicho desarrollo puede y debe proseguir. La existencia de diferencias legislativas y la inseguridad jurídica en materia de protección puede impedir las economías de escala para los nuevos productos y servicios protegidos por derechos de autor y derechos afines a los derechos de autor.

(7) Por tanto, el marco jurídico comunitario para la protección de los derechos de autor y derechos afines a los derechos de autor debe también adaptarse y completarse en la medida en que resulte necesario para el correcto funcionamiento del mercado interior. A tal fin, deben reajustarse aquellas disposiciones nacionales sobre los derechos de autor y derechos afines a los derechos de autor en las que existan diferencias considerables de un Estado miembro a otro o que ocasionen una inseguridad jurídica que dificulte el correcto funcionamiento del mercado interior y el adecuado desarrollo de la sociedad de la información en Europa, y deben evitarse las incoherencias entre las respuestas nacionales a los avances tecnológicos, no siendo necesario suprimir o evitar aquellas diferencias que no repercutan negativamente en el funcionamiento del mercado interior.

(8) Las diversas implicaciones sociales y culturales de la sociedad de la información exigen que se tenga en cuenta la especificidad del contenido de los productos y servicios.

(9) Toda armonización de los derechos de autor y derechos afines a los derechos de autor debe basarse en un elevado nivel de protección, dado que tales derechos son primordiales para la creación intelectual. Su protección contribuye a preservar y desarrollar la creatividad en interés de los autores, los intérpretes, los productores, los consumidores, la cultura, la industria y el público en general. Por lo tanto, la propiedad intelectual ha sido reconocida como una parte integrante del derecho de propiedad.

(10) Para que los autores y los intérpretes puedan continuar su labor creativa y artística, deben recibir una compensación adecuada por el uso de su obra, al igual que los productores, para poder financiar esta labor. La inversión necesaria para elaborar productos tales como fonogramas, películas o productos multimedia, y servicios tales como los servicios “a la carta”, es considerable. Es indispensable una protección jurídica adecuada de los derechos de propiedad intelectual para garantizar la disponibilidad de tal compensación y ofrecer la oportunidad de obtener un rendimiento satisfactorio de tal inversión.

(11) Un sistema eficaz y riguroso de protección de los derechos de autor y derechos afines a los derechos de autor constituye uno de los instrumentos fundamentales para asegurar a la creación y a la producción cultural europea los recursos necesarios y para garantizar autonomía y dignidad a los creadores e intérpretes.

(12) La adecuada tutela de las obras protegidas mediante derechos de autor y de las prestaciones protegidas mediante derechos afines a los derechos de autor tiene gran importancia desde el punto de vista cultural. El artículo 151 del Tratado exige que la Comunidad tome en consideración los aspectos culturales en su actuación.

(13) Es fundamental la búsqueda común y la aplicación coherente, a escala europea, de medidas tecnológicas tendentes a proteger las obras y prestaciones y a asegurar la información necesaria sobre los derechos, dado que el objetivo último de estas medidas tecnológicas es hacer operativos los principios y garantías establecidos por las normas jurídicas.

(14) La presente Directiva aspira a fomentar el aprendizaje y la cultura mediante la protección de las obras y prestaciones, permitiendo al mismo tiempo excepciones o limitaciones en interés general para fines educativos y docentes.

(15) La Conferencia Diplomática celebrada en diciembre de 1996 bajo los auspicios de la Organización Mundial de la Propiedad Intelectual (OMPI) llevó a la adopción de dos nuevos Tratados, el Tratado de la OMPI sobre derechos de autory el “Tratado de la OMPI sobre interpretación o ejecución y fonogramas”, que versan respectivamente sobre la protección de los autores y sobre la protección de los intérpretes o ejecutantes y de los productores de fonogramas. Estos Tratados actualizan de forma significativa la protección internacional de los derechos de autor y derechos afines a los derechos de autor, incluso en relación con la denominada “agenda digital”, y mejoran los medios para combatir la piratería a nivel mundial. La Comunidad y la mayoría de los Estados miembros han firmado ya dichos Tratados y se están tomando las oportunas disposiciones para la ratificación de los mismos por la Comunidad y los Estados miembros. La presente Directiva está destinada también a dar cumplimiento a algunas de las nuevas obligaciones internacionales.

(16) La cuestión de la responsabilidad que se deriva de las actividades realizadas en el contexto de red no sólo se refiere a los derechos de autor y derechos afines a los derechos de autor sino también a otros sectores, tales como la difamación, la publicidad engañosa o la violación de marcas registradas, y se trata de manera horizontal en la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico, en el mercado interior (“Directiva sobre el comercio electrónico”) (4), que aclara y armoniza diversos aspectos jurídicos relacionados con los servicios de la sociedad de la información, incluido el comercio electrónico. La presente Directiva debe aplicarse respetando un calendario similar al de la aplicación de la Directiva sobre el comercio electrónico, puesto que dicha Directiva dispone un marco armonizado de los principios y normas relativos, entre otras, a ciertas partes importantes de la presente Directiva. La presente Directiva se entenderá sin perjuicio de las normas sobre responsabilidad previstas en la citada Directiva.

(17) Es necesario, especialmente a la luz de las exigencias derivadas del entorno digital, garantizar que las sociedades de gestión colectiva de los derechos de autor y de los derechos afines a los derechos de autor consigan un nivel más alto de racionalización y transparencia en el respeto de las normas de competencia.

(18) La presente Directiva no afectará a las disposiciones que existen en los Estados miembros en materia de gestión de derechos, como las licencias colectivas ampliadas.

(19) El derecho moral de los titulares de derechos debe ejercerse de conformidad con lo dispuesto en la legislación de los Estados miembros, en el Convenio de Berna para la protección de las obras literarias y artísticas, en el Tratado de la OMPI sobre derechos de autor y en el Tratado de la OMPI sobre interpretación o ejecución y fonogramas. Dicho derecho moral no entra en el ámbito de aplicación de la presente Directiva.

(20) La presente Directiva se basa en principios y normas ya establecidos por las Directivas vigentes en la materia, en particular, las Directivas 91/250/CE (5), 92/100/CEE (6), 93/83/CE (7), 93/98/CEE (8) y 96/9/CE (9), y los desarrolla e integra en la perspectiva de la sociedad de la información. Las disposiciones de la presente Directiva deben entenderse sin perjuicio de las disposiciones de dichas Directivas, salvo disposición en contrario de la presente Directiva.

(21) La presente Directiva debe definir el alcance de los actos protegidos por el derecho de reproducción en relación con los distintos beneficiarios. Ello debe efectuarse en consonancia con el acervo comunitario. Es necesaria una definición general de tales actos para garantizar la seguridad jurídica dentro del mercado interior.

(22) El objetivo de un apoyo eficaz a la difusión de la cultura no podrá alcanzarse si no se protegen rigurosamente los derechos o si no se combaten las formas ilegales de comercialización de las obras culturales falsificadas o piratas.

(23) La presente Directiva debe armonizar en mayor medida el derecho de autor de la comunicación al público. Este derecho debe entenderse en un sentido amplio que incluya todo tipo de comunicación al público no presente en el lugar en el que se origina la comunicación. Este derecho debe abarcar cualquier tipo de transmisión o retransmisión de una obra al público, sea con o sin hilos, incluida la radiodifusión. Este derecho no debe abarcar ningún otro tipo de actos.

(24) El derecho de poner a disposición del público las prestaciones contempladas en el apartado 2 del artículo 3 se entiende que abarca todo acto por el cual tales prestaciones se pongan a disposición del público no presente en el lugar en el que se generó dicho acto, y ningún otro acto distinto del mismo.

(25) La inseguridad jurídica en cuanto a la naturaleza y el nivel de protección de los actos de transmisión a la carta, a través de redes, de obras protegidas por derechos de autor y prestaciones protegidas por derechos afines a los derechos de autor debe superarse mediante el establecimiento de una protección armonizada a nivel comunitario. Debe precisarse que todos los titulares de derechos reconocidos por la presente Directiva tienen el derecho exclusivo de poner a disposición del público obras protegidas por derechos de autor o cualquier prestación protegida mediante transmisiones interactivas a la carta. Tales transmisiones interactivas a la carta se caracterizan por el hecho de que cualquier persona pueda acceder a ellas desde el lugar y en el momento que ella misma elija.

(26) Por lo que respecta a la puesta a disposición en servicios a la carta por organismos de radiodifusión de sus producciones de radio o televisivas que incluyan música de fonogramas comerciales como parte integrante de las mismas, deben fomentarse acuerdos de licencia colectiva para facilitar el pago de los derechos de que se trate.

(27) La mera puesta a disposición de las instalaciones materiales necesarias para facilitar o efectuar una comunicación no equivale en sí misma a una comunicación en el sentido de la presente Directiva.

(28) La protección de los derechos de autor, a efectos de la presente Directiva, incluye el derecho exclusivo a controlar la distribución de la obra incorporada en un soporte tangible. La primera venta en la Comunidad del original de una obra o de copias de la misma por el titular del derecho o con su consentimiento agotará el derecho a controlar la reventa de dicho objeto en la Comunidad. Este derecho no se agota cuando se aplica al original o a sus copias vendidas por el titular del derecho o con su consentimiento fuera de la Comunidad. En la Directiva 92/100/CEE se establecieron los derechos de alquiler y préstamo de los autores. El derecho de distribución previsto en la presente Directiva deberá entenderse sin perjuicio de las disposiciones en materia de derechos de alquiler y préstamo del Capítulo I de dicha Directiva.

(29) El problema del agotamiento no se plantea en el caso de los servicios, y en particular de los servicios en línea. Ello se aplica también a las copias materiales de una obra o prestación efectuadas por un usuario de dicho servicio con el consentimiento del titular del derecho. Por consiguiente, cabe aplicar lo mismo al alquiler y préstamo del original y de copias de las obras o prestaciones que por su naturaleza constituyan servicios. A diferencia del CD-ROM o CD-I, en los que la propiedad intelectual está incorporada a un soporte material, esto es, una mercancía, cada servicio en línea es, de hecho, un acto que debe quedar sujeto a autorización cuando así lo exijan los derechos de autor o derechos afines a los derechos de autor.

(30) Los derechos a que se refiere la presente Directiva pueden ser transmitidos o cedidos o ser objeto de licencias contractuales, sin perjuicio de la normativa nacional pertinente sobre derechos de autor y derechos afines a los derechos de autor.

(31) Debe garantizarse un justo equilibrio entre los derechos e intereses de las diferentes categorías de titulares de derechos, así como entre las distintas categorías de titulares de derechos y usuarios de prestaciones protegidas. Las actuales excepciones y limitaciones a los derechos previstas en los Estados miembros deben revaluarse a la luz de los avances logrados en la electrónica. Las diferencias existentes en las excepciones y limitaciones a determinados actos restringidos inciden directa y negativamente en el funcionamiento del mercado interior de derechos de autor y derechos afines a los derechos de autor. Tales diferencias podrían perfectamente acentuarse a medida que se desarrollen la explotación transfronteriza de las obras y las actividades transfronterizas. Para garantizar el correcto funcionamiento del mercado interior, resulta oportuno definir de manera más armonizada tales excepciones y limitaciones. El grado de armonización de las mismas debe estar en función de sus efectos sobre el correcto funcionamiento del mercado interior.

(32) La presente Directiva establece una lista exhaustiva de excepciones y limitaciones a los derechos de reproducción y de comunicación al público. Algunas de las excepciones o limitaciones sólo se aplican al derecho de reproducción cuando resulta pertinente. La lista toma oportunamente en consideración las diferentes tradiciones jurídicas de los Estados miembros, y está destinada al mismo tiempo a garantizar el funcionamiento del mercado interior. Los Estados miembros deben aplicar con coherencia dichas excepciones y limitaciones, lo que será comprobado en un futuro examen de las medidas de transposición.

(33) Conviene establecer una excepción al derecho exclusivo de reproducción para permitir determinados actos de reproducción provisionales, que sean reproducciones transitorias o accesorias, que formen parte integrante y esencial de un proceso tecnológico desarrollado con la única finalidad de permitir una transmisión eficaz en una red entre terceras partes, a través de un intermediario, o bien la utilización lícita de una obra o prestación. Tales actos de reproducción deben carecer en sí de valor económico. En la medida en que cumplan estas condiciones, la excepción mencionada debe cubrir asimismo los actos que permitan hojear o crear ficheros de almacenamiento provisional, incluidos los que permitan el funcionamiento eficaz de los sistemas de transmisión, siempre y cuando el intermediario no modifique la información y no interfiera en la utilización lícita de tecnología ampliamente reconocida y utilizada por el sector con el fin de obtener datos sobre la utilización de la información. La utilización se considerará lícita en caso de que la autorice el titular del derecho o de que no se encuentre restringida por la ley.

(34) Debe ofrecerse a los Estados miembros la posibilidad de establecer determinadas excepciones o limitaciones en casos tales como aquellos en que se persiga una finalidad educativa o científica, en beneficio de organismos públicos, tales como bibliotecas y archivos, con fines de información periodística, para citas, para uso por personas minusválidas, para usos relacionados con la seguridad pública y para uso en procedimientos administrativos y judiciales.

(35) En determinados casos de excepciones o limitaciones, los titulares de los derechos deberían recibir una compensación equitativa para recompensarles adecuadamente por el uso que se haya hecho de sus obras o prestaciones protegidas. A la hora de determinar la forma, las modalidades y la posible cuantía de esa compensación equitativa, deben tenerse en cuenta las circunstancias de cada caso concreto. Un criterio útil para evaluar estas circunstancias sería el posible daño que el acto en cuestión haya causado a los titulares de los derechos. Cuando los titulares de los derechos ya hayan recibido una retribución de algún tipo, por ejemplo, como parte de un canon de licencia, puede ocurrir que no haya que efectuar un pago específico o por separado. El nivel de compensación equitativa deberá determinarse teniendo debidamente en cuenta el grado de utilización de las medidas tecnológicas de protección contempladas en la presente Directiva. Determinadas situaciones en las que el perjuicio causado al titular del derecho haya sido mínimo no pueden dar origen a una obligación de pago.

(36) Los Estados miembros pueden prever una compensación equitativa a los titulares de los derechos también cuando apliquen las disposiciones facultativas relativas a las excepciones o limitaciones que no requieren dicha compensación.

(37) Cuando existen, los actuales regímenes nacionales en materia de reprografía no suponen un obstáculo importante para el mercado interior. Debe facultarse a los Estados miembros para establecer una excepción o limitación en relación con la reprografía.

(38) Debe facultarse a los Estados miembros para que establezcan una excepción o limitación al derecho de reproducción en relación con determinados tipos de reproducción de material sonoro, visual y audiovisual para uso privado, mediante una compensación equitativa. Ello puede suponer la introducción o el mantenimiento de los sistemas de retribución para compensar a los titulares de los derechos por los perjuicios sufridos. Aunque las diferencias existentes entre tales sistemas de retribución afecten al funcionamiento del mercado interior, en lo que respecta a la reproducción privada analógica, dichas diferencias no deben tener efectos significativos en el desarrollo de la sociedad de la información. La copia privada digital puede propagarse mucho más y tener mayor impacto económico. Por consiguiente, deben tenerse debidamente en cuenta las diferencias entre la copia privada digital y la analógica, y debe establecerse entre ellas una distinción en determinados aspectos.

(39) Al aplicar la excepción o limitación relativa a la copia privada, los Estados miembros deben tener en cuenta el desarrollo económico y tecnológico, en particular, en lo relativo a la copia digital privada y a los sistemas de retribución, siempre que existan medidas tecnológicas de protección eficaces. Dichas excepciones o limitaciones no deben impedir ni el uso de medidas tecnológicas ni su aplicación en caso de elusión.

(40) Los Estados miembros pueden establecer una excepción o limitación en beneficio de determinados establecimientos sin fines lucrativos, como bibliotecas accesibles al público y entidades similares, así como archivos. No obstante, dicha excepción o limitación debe limitarse a una serie de casos específicos en los que se aplique el derecho de reproducción. Tal excepción o limitación no debe aplicarse a las utilizaciones realizadas en el contexto de la entrega en línea de obras o prestaciones protegidas. La presente Directiva debe entenderse sin perjuicio de la facultad de los Estados miembros de establecer excepciones al derecho exclusivo de préstamo al público, de conformidad con lo dispuesto en el artículo 5 de la Directiva 92/100/CEE. Conviene, por tanto, fomentar los contratos o licencias específicas que favorezcan de manera equilibrada a dichas entidades y sus objetivos en el campo de la difusión.

(41) Al aplicar la excepción o limitación por lo que respecta a las grabaciones efímeras realizadas por organismos de radiodifusión, debe entenderse que los medios propios de dichos organismos incluyen los de las personas que actúen en nombre y bajo la responsabilidad de dichos organismos.

(42) Al aplicar la excepción o limitación en el caso de fines educativos o de investigación científica no comerciales incluida la educación a distancia, la naturaleza no comercial de la actividad de que se trate debe venir dada por la actividad en sí. La estructura institucional y los medios de financiación de la entidad de que se trate no son los factores decisivos a este respecto.

(43) Es importante, en cualquier caso, que los Estados miembros adopten todas las medidas pertinentes para favorecer el acceso a las obras a quienes sufran una minusvalía que constituya un obstáculo a la utilización de las obras en sí mismas, prestando especial atención a los formatos accesibles.

(44) Al aplicar las excepciones y limitaciones previstas en la presente Directiva, éstas deben ejercerse de acuerdo con las obligaciones internacionales. Las citadas excepciones y limitaciones no deben aplicarse ni de tal forma que los intereses legítimos del titular del derecho se vean perjudicados ni de manera contraria a la explotación normal de su obra o prestación. El establecimiento de dichas excepciones o limitaciones por los Estados miembros debe, en particular, reflejar debidamente el creciente impacto económico que pueden tener las mismas a la luz de los avances logrados en la electrónica. Por consiguiente, puede resultar necesario limitar aún más el alcance de determinadas excepciones o limitaciones en lo tocante a ciertas nuevas utilizaciones de obras protegidas por derechos de autor y prestaciones protegidas por derechos afines a los derechos de autor.

(45) Las excepciones y limitaciones a que se refieren los apartados 2, 3 y 4, del artículo 5 no deben ser un obstáculo para el establecimiento de relaciones contractuales encaminadas a asegurar una compensación equitativa a los titulares de los derechos de autor, en la medida permitida por el Derecho nacional.

(46) El recurso a la mediación podría ayudar a los usuarios y titulares de derechos a solucionar los litigios. La Comisión debería realizar, en cooperación con los Estados miembros y en el seno del Comité de contacto, un estudio orientado a encontrar nuevas formas jurídicas para solucionar los litigios sobre los derechos de autor y derechos afines a los derechos de autor.

(47) El desarrollo tecnológico permitirá a los titulares de derechos recurrir a medidas tecnológicas destinadas a impedir o restringir actos que no cuenten con la autorización del titular de cualesquiera derechos de autor, de derechos afines a los derechos de autor o del derecho sui generis en materia de bases de datos. No obstante, existe el riesgo de que se lleven a cabo actividades ilegales para permitir o facilitar la elusión de la protección técnica que suponen tales medidas. Con vistas a evitar planteamientos jurídicos fragmentados que pudieran dificultar el funcionamiento del mercado interior, resulta necesario establecer una protección jurídica armonizada frente a la elusión de medidas tecnológicas efectivas y frente al suministro de dispositivos y productos o servicios para tal fin.

(48) Dicha protección jurídica debe cubrir las medidas tecnológicas que restringen de manera efectiva los actos no autorizados por los titulares de cualesquiera derechos de autor, de derechos afines a los derechos de autor o del derecho sui generis en materia de bases de datos, sin por ello impedir el funcionamiento normal de los equipos electrónicos y su desarrollo técnico. Dicha protección jurídica no debe suponer una obligación de conformar los dispositivos, productos, componentes o servicios con dichas medidas tecnológicas, siempre que esos dispositivos, productos, componentes o servicios no se encuentren incluidos por otras razones en la prohibición del artículo 6. Dicha protección jurídica debe respetar el principio de proporcionalidad y no debe prohibir aquellos dispositivos o actividades cuyo empleo o finalidad comercial principal persiga objetivos distintos de la elusión de la protección técnica. Esta protección no debe suponer obstáculos, especialmente, para la investigación sobre criptografía.

(49) La protección jurídica de las medidas tecnológicas se entenderá sin perjuicio de la aplicación de cualesquiera disposiciones nacionales que puedan prohibir la posesión privada de dispositivos, productos o componentes para la elusión de las medidas tecnológicas.

(50) Dicha protección jurídica armonizada no afecta a las disposiciones específicas de protección previstas en la Directiva 91/250/CEE. En concreto, no debe aplicarse a la protección de medidas tecnológicas utilizadas en relación con programas informáticos, la cual está contemplada exclusivamente en dicha Directiva. Tampoco debe impedir ni obstaculizar el desarrollo o la utilización de cualquier medio destinado a neutralizar una medida tecnológica necesaria para hacer posibles actos realizados de conformidad con lo dispuesto en el apartado 3 del artículo 5 y en el artículo 6 de la Directiva 91/250/CEE. Los artículos 5 y 6 de dicha Directiva establecen únicamente excepciones a los derechos exclusivos a los programas informáticos.

(51) La protección jurídica de las medidas tecnológicas se aplica sin perjuicio de las medidas de orden público, tal como contempla el artículo 5, o de la seguridad pública. Los Estados miembros deben fomentar que los titulares de derechos adopten medidas voluntarias, como el establecimiento y aplicación de acuerdos entre titulares y otros interesados, con el fin de posibilitar la consecución de los objetivos de determinadas excepciones o limitaciones previstas en el ordenamiento jurídico nacional de conformidad con la presente Directiva. De no adoptarse tales medidas o acuerdos voluntarios en un plazo razonable, los Estados miembros deben tomar las medidas pertinentes para que los titulares de los derechos faciliten a los beneficiarios de tales excepciones o limitaciones los medios adecuados para disfrutarlas, ya sea modificando una medida tecnológica existente, ya sea por otros medios. No obstante, con el fin de evitar abusos en la aplicación de tales medidas tomadas por los titulares de los derechos, inclusive en el marco de acuerdos, o por un Estado miembro, toda medida tecnológica adoptada en aplicación de tales medidas debe estar protegida jurídicamente.

(52) Al aplicar una excepción o limitación de copia privada de acuerdo con la letra b) del apartado 2 del artículo 5, los Estados miembros deben fomentar asimismo el recurso a medidas voluntarias con el fin de posibilitar la consecución de los objetivos de dicha excepción o limitación. De no adoptarse en un plazo razonable tales medidas voluntarias para hacer posible la reproducción para uso privado, los Estados miembros podrán adoptar medidas para que los beneficiarios de la excepción o limitación de que se trate puedan acogerse a la misma. Las medidas voluntarias adoptadas por los titulares de derechos, incluidos los acuerdos entre estos últimos y otros interesados, así como las medidas adoptadas por los Estados miembros no impiden a los titulares de derechos utilizar medidas tecnológicas que sean compatibles con las excepciones o limitaciones en materia de copia privada establecidas en su derecho nacional de acuerdo con la letra b) del apartado 2 del artículo 5, teniendo en cuenta la condición de compensación equitativa prevista en dicha disposición y la posible diferenciación entre diversas condiciones de uso de acuerdo con el apartado 5 del artículo 5, como el control del número de reproducciones. Con el fin de evitar abusos en la aplicación de dichas medidas, toda medida tecnológica adoptada en aplicación de las mismas debe disfrutar de protección jurídica.

(53) La protección de las medidas tecnológicas debe garantizar un entorno seguro para la prestación de servicios interactivos a la carta, de forma que el público pueda tener acceso a las obras u otras prestaciones desde el lugar y en el momento que prefiera. Cuando dichos servicios estén regulados por acuerdos contractuales, no deben aplicarse los párrafos primero y segundo del apartado 4 del artículo 6. Las formas no interactivas de servicios en línea deben seguir sometidas a dichas disposiciones.

(54) Se han logrado importantes progresos en materia de normalización internacional de los sistemas técnicos de identificación de las obras y prestaciones protegidas digitales. En un contexto en el que tienen cada vez más importancia los sistemas de red, las diferencias entre medidas tecnológicas podrían conducir a una incompatibilidad de los sistemas dentro de la Comunidad. Debe impulsarse la compatibilidad e interoperabilidad de los sistemas. Sería muy conveniente fomentar el desarrollo de sistemas globales.

(55) El desarrollo tecnológico facilitará la distribución de las obras, en particular a través de redes, y ello implicará para los titulares de los derechos la necesidad de identificar mejor la obra o la prestación, al autor de la obra o el titular del derecho y de proporcionar información sobre las condiciones y modalidades de utilización de la obra o la prestación, con objeto de simplificar la gestión de los derechos vinculados a la obra o prestación. Debe alentarse a los titulares de los derechos a emplear marcados que indiquen, además de la mencionada información, entre otras cosas, su autorización cuando incluyan en redes las obras o prestaciones protegidas.

(56) No obstante, existe el riesgo de que se lleven a cabo actividades ilegales con vistas a suprimir o alterar la información para la gestión electrónica de los derechos de autor vinculada a la obra, así como a distribuir, importar para su distribución, emitir por radiodifusión, comunicar al público o poner a disposición del público obras o prestaciones protegidas a las que se haya suprimido tal información sin autorización. Con vistas a evitar planteamientos jurídicos fragmentados que pudieran dificultar el funcionamiento del mercado interior, resulta necesario establecer una protección jurídica armonizada frente a cualesquiera actividades de este tipo.

(57) En función de su diseño, los sistemas de información para la gestión de derechos mencionados pueden, simultáneamente, procesar los datos personales sobre hábitos de consumo de las prestaciones protegidas por parte de personas individuales y permitir el seguimiento de los comportamientos en línea. Dichas medidas técnicas deben incluir, en sus funciones técnicas, garantías de respeto de la intimidad de conformidad con lo dispuesto en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (10).

(58) Los Estados miembros deben prever sanciones y vías de recurso efectivas contra la vulneración de los derechos y las obligaciones establecidos en la presente Directiva. Deben adoptar todas las medidas necesarias para garantizar que se apliquen tales sanciones y vías de recurso. Las sanciones previstas deben ser efectivas, proporcionadas y disuasorias y deben llevar aparejadas la posibilidad de solicitar reparación de daños y perjuicios y/o medidas cautelares y, cuando proceda, la incautación del material ilícito.

(59) Sobre todo en el entorno digital, es posible que terceras partes utilicen cada vez con mayor frecuencia los servicios de intermediarios para llevar a cabo actividades ilícitas. En muchos casos, estos intermediarios son quienes están en mejor situación de poner fin a dichas actividades ilícitas. Así pues, y sin perjuicio de otras sanciones o recursos contemplados, los titulares de los derechos deben tener la posibilidad de solicitar medidas cautelares contra el intermediario que transmita por la red la infracción contra la obra o prestación protegidas cometida por un tercero. Esta posibilidad debe estar abierta aun cuando los actos realizados por el intermediario estén exentos en virtud del artículo 5. Debe corresponder a la legislación nacional de los Estados miembros regular las condiciones y modalidades de dichas medidas cautelares.

(60) La protección otorgada en virtud de la presente Directiva debe entenderse sin perjuicio de las disposiciones nacionales o comunitarias vigentes en otros ámbitos, como, por ejemplo, la propiedad industrial, la protección de datos, el acceso condicional, el acceso a los documentos públicos o la normativa sobre la cronología de la explotación de los medios de comunicación, que puedan afectar a la protección de los derechos de autor u otros derechos afines a los derechos de autor.

(61) Para ajustarse a lo dispuesto en el Tratado de la OMPI sobre interpretación o ejecución y fonogramas, resulta oportuno modificar las Directivas 92/100/CEE y 93/98/CEE,

HAN ADOPTADO LA PRESENTE DIRECTIVA:


CAPÍTULO I.
OBJECTIVO Y ÁMBITO DE APLICACIÓN

Artículo 1. Ámbito de aplicación

1. La presente Directiva trata de la protección jurídica de los derechos de autor y otros derechos afines a los derechos de autor en el mercado interior, con particular atención a la sociedad de la información.

2. Salvo en los casos mencionados en el artículo 11, la presente Directiva dejará intactas y no afectará en modo alguno las disposiciones comunitarias vigentes relacionadas con:

a) la protección jurídica de los programas de ordenador;

b) el derecho de alquiler, el derecho de préstamo y determinados derechos afines a los derechos de autor en el ámbito de la propiedad intelectual;

c) los derechos de autor y derechos afines a los derechos de autor aplicables a la radiodifusión de programas vía satélite y la retransmisión por cable;

d) la duración de la protección de los derechos de autor y determinados derechos afines a los derechos de autor;

e) la protección jurídica de las bases de datos.
CAPÍTULO II. DERECHOS Y EXCEPCIONES

Artículo 2. Derecho de reproducción

Los Estados miembros establecerán el derecho exclusivo a autorizar o prohibir la reproducción directa o indirecta, provisional o permanente, por cualquier medio y en cualquier forma, de la totalidad o parte:

a) a los autores, de sus obras;

b) a los artistas, intérpretes o ejecutantes, de las fijaciones de sus actuaciones;

c) a los productores de fonogramas, de sus fonogramas;

d) a los productores de las primeras fijaciones de películas, del original y las copias de sus películas;

e) a los organismos de radiodifusión, de las fijaciones de sus emisiones, con independencia de que éstas se transmitan por procedimientos alámbricos o inalámbricos, inclusive por cable o satélite.
Artículo 3. Derecho de comunicación al público de obras y derecho de poner a disposición del público prestaciones protegidas

1. Los Estados miembros establecerán en favor de los autores el derecho exclusivo a autorizar o prohibir cualquier comunicación al público de sus obras, por procedimientos alámbricos o inalámbricos, incluida la puesta a disposición del público de sus obras de tal forma que cualquier persona pueda acceder a ellas desde el lugar y en el momento que elija.

2. Los Estados miembros concederán el derecho exclusivo a autorizar o prohibir la puesta a disposición del público, por procedimientos alámbricos o inalámbricos, de tal forma que cualquier persona pueda tener acceso a ellos desde el lugar y en el momento que elija:

a) a los artistas, intérpretes o ejecutantes, de las fijaciones de sus actuaciones;

b) a los productores de fonogramas, de sus fonogramas;

c) a los productores de las primeras fijaciones de películas, del original y las copias de sus películas;

d) a los organismos de radiodifusión, de las fijaciones de sus emisiones, con independencia de que éstas se transmitan por procedimientos alámbricos o inalámbricos, inclusive por cable o satélite.

3. Ningún acto de comunicación al público o de puesta a disposición del público con arreglo al presente artículo podrá dar lugar al agotamiento de los derechos a que se refieren los apartados 1 y 2.
Artículo 4. Derecho de distribución

1. Los Estados miembros establecerán en favor de los autores, respecto del original de sus obras o copias de ellas, el derecho exclusivo de autorizar o prohibir toda forma de distribución al público, ya sea mediante venta o por cualquier otro medio.

2. El derecho de distribución respecto del original o de copias de las obras no se agotará en la Comunidad en tanto no sea realizada en ella la primera venta u otro tipo de cesión de la propiedad del objeto por el titular del derecho o con su consentimiento.
Artículo 5. Excepciones y limitaciones

1. Los actos de reproducción provisional a que se refiere el artículo 2, que sean transitorios o accesorios y formen parte integrante y esencial de un proceso tecnológico y cuya única finalidad consista en facilitar:

a) una transmisión en una red entre terceras partes por un intermediario, o

b) una utilización lícita

de una obra o prestación protegidas, y que no tengan por sí mismos una significación económica independiente, estarán exentos del derecho de reproducción contemplado en el artículo 2.

2. Los Estados miembros podrán establecer excepciones o limitaciones al derecho de reproducción contemplado en el artículo 2 en los siguientes casos:

a) en relación con reproducciones sobre papel u otro soporte similar en las que se utilice una técnica fotográfica de cualquier tipo u otro proceso con efectos similares, a excepción de las partituras, siempre que los titulares de los derechos reciban una compensación equitativa;

b) en relación con reproducciones en cualquier soporte efectuadas por una persona física para uso privado y sin fines directa o indirectamente comerciales, siempre que los titulares de los derechos reciban una compensación equitativa, teniendo en cuenta si se aplican o no a la obra o prestación de que se trate las medidas tecnológicas contempladas en el artículo 6;

c) en relación con actos específicos de reproducción efectuados por bibliotecas, centros de enseñanza o museos accesibles al público, o por archivos, que no tengan intención de obtener un beneficio económico o comercial directo o indirecto;

d) cuando se trate de grabaciones efímeras de obras, realizadas por organismos de radiodifusión por sus propios medios y para sus propias emisiones; podrá autorizarse la conservación de estas grabaciones en archivos oficiales, a causa de su carácter documental excepcional;

e) en relación con reproducciones de radiodifusiones efectuadas por instituciones sociales que no persigan fines comerciales, como hospitales o prisiones, a condición de que los titulares de los derechos reciban una compensación equitativa.

3. Los Estados miembros podrán establecer excepciones o limitaciones a los derechos a que se refieren los artículos 2 y 3 en los siguientes casos:

a) cuando el uso tenga únicamente por objeto la ilustración con fines educativos o de investigación científica, siempre que, salvo en los casos en que resulte imposible, se indique la fuente, con inclusión del nombre del autor, y en la medida en que esté justificado por la finalidad no comercial perseguida;

b) cuando el uso se realice en beneficio de personas con minusvalías, guarde una relación directa con la minusvalía y no tenga un carácter comercial, en la medida en que lo exija la minusvalía considerada;

c) cuando la prensa reproduzca o se quiera comunicar o poner a disposición del público artículos publicados sobre temas de actualidad económica, política o religiosa, o emisiones de obras o prestaciones del mismo carácter, en los casos en que dicho uso no esté reservado de manera expresa, y siempre que se indique la fuente, incluido el nombre del autor, o bien cuando el uso de obras o prestaciones guarde conexión con la información sobre acontecimientos de actualidad, en la medida en que esté justificado por la finalidad informativa y siempre que, salvo en los casos en que resulte imposible, se indique la fuente, con inclusión del nombre del autor;

d) cuando se trate de citas con fines de crítica o reseña, siempre y cuando éstas se refieran a una obra o prestación que se haya puesto ya legalmente a disposición del público, se indique, salvo en los casos en que resulte imposible, la fuente, con inclusión del nombre del autor, y se haga buen uso de ellas, y en la medida en que lo exija el objetivo específico perseguido;

e) cuando el uso se realice con fines de seguridad pública o para garantizar el correcto desarrollo de procedimientos administrativos, parlamentarios o judiciales, o para asegurar una cobertura adecuada de dichos procedimientos;

f) cuando se trate de discursos políticos y de extractos de conferencias públicas u obras o prestaciones protegidas similares en la medida en que lo justifique la finalidad informativa y siempre que, salvo en los casos en que resulte imposible, se indique la fuente, con inclusión del nombre del autor;

g) cuando el uso se realice durante celebraciones religiosas o celebraciones oficiales organizadas por una autoridad pública;

h) cuando se usen obras, tales como obras de arquitectura o escultura, realizadas para estar situadas de forma permanente en lugares públicos;

i) cuando se trate de una inclusión incidental de una obra o prestación en otro material;

j) cuando el uso tenga la finalidad de anunciar la exposición pública o la venta de obras de arte, en la medida en que resulte necesaria para promocionar el acto, con exclusión de cualquier otro uso comercial;

k) cuando el uso se realice a efectos de caricatura, parodia o pastiche;

l) cuando se use en relación con la demostración o reparación de equipos;

m) cuando se use una obra de arte en forma de edificio o dibujo o plano de un edificio con la intención de reconstruir dicho edificio;

n) cuando el uso consista en la comunicación a personas concretas del público o la puesta a su disposición, a efectos de investigación o de estudio personal, a través de terminales especializados instalados en los locales de los establecimientos mencionados en la letra c) del apartado 2, de obras y prestaciones que figuran en sus colecciones y que no son objeto de condiciones de adquisición o de licencia;

o) cuando el uso se realice en otros casos de importancia menor en que ya se prevean excepciones o limitaciones en el Derecho nacional, siempre se refieran únicamente a usos analógicos y que no afecten a la libre circulación de bienes y servicios en el interior de la Comunidad, sin perjuicio de las otras excepciones y limitaciones previstas en el presente artículo.

4. Cuando los Estados miembros puedan establecer excepciones o limitaciones al derecho de reproducción en virtud de los apartados 2 y 3, podrán igualmente establecer excepciones o limitaciones al derecho de distribución previsto en el artículo 4, siempre que lo justifique la finalidad del acto de reproducción autorizado.

5. Las excepciones y limitaciones contempladas en los apartados 1, 2, 3 y 4 únicamente se aplicarán en determinados casos concretos que no entren en conflicto con la explotación normal de la obra o prestación y no perjudiquen injustificadamente los intereses legítimos del titular del derecho.
CAPÍTULO III. PROTECCIÓN DE MEDIDAS TECNOLÓGICAS E INFORMACIÓN PARA LA GESTIÓN DE DERECHOS

Artículo 6. Obligaciones relativas a medidas tecnológicas

1. Los Estados miembros establecerán una protección jurídica adecuada contra la elusión de cualquier medida tecnológica efectiva, cometida por una persona a sabiendas, o teniendo motivos razonables para saber que persigue ese objetivo.

2. Los Estados miembros establecerán una protección jurídica adecuada frente a la fabricación, importación, distribución, venta, alquiler, publicidad para la venta o el alquiler, o posesión con fines comerciales, de cualquier dispositivo, producto o componente o la prestación de servicios que:

a) sea objeto de una promoción, de una publicidad o de una comercialización con la finalidad de eludir la protección, o

b) sólo tenga una finalidad o uso comercial limitado al margen de la elusión de la protección, o

c) esté principalmente concebido, producido, adaptado o realizado con la finalidad de permitir o facilitar la elusión de la protección

de cualquier medida tecnológica eficaz.

3. A efectos de la presente Directiva, se entenderá por “medidas tecnológicas” toda técnica, dispositivo o componente que, en su funcionamiento normal, esté destinado a impedir o restringir actos referidos a obras o prestaciones protegidas que no cuenten con la autorización del titular de los derechos de autor o de los derechos afines a los derechos de autor establecidos por ley o el derecho sui generis previsto en el Capítulo III de la Directiva 96/9/CE. Las medidas tecnológicas se considerarán “eficaces” cuando el uso de la obra o prestación protegidas esté controlado por los titulares de los derechos mediante la aplicación de un control de acceso o un procedimiento de protección, por ejemplo, codificación, aleatorización u otra transformación de la obra o prestación o un mecanismo de control del copiado, que logre este objetivo de protección.

4. No obstante la protección jurídica prevista en el apartado 1, en caso de que los titulares de los derechos no adopten medidas voluntarias, incluidos los acuerdos con otros interesados, los Estados miembros tomarán las medidas pertinentes para que los titulares de los derechos faciliten al beneficiario de una excepción o limitación establecida por el Derecho nacional de conformidad con las letras a), c), d), y e) del apartado 2 del artículo 5 o con las letras a), b) y e) del apartado 3 del mismo artículo, los medios adecuados para disfrutar de dicha excepción o limitación, en la medida necesaria para ese disfrute, siempre y cuando dicho beneficiario tenga legalmente acceso a la obra o prestación protegidas.

Un Estado miembro podrá adoptar asimismo tales medidas respecto del beneficiario de una excepción o limitación establecida en virtud de la letra b) del apartado 2 del artículo 5, a menos que los titulares de los derechos hayan hecho ya posible la reproducción para uso privado en la medida necesaria para el disfrute de la excepción o limitación contemplada y de conformidad con lo dispuesto en la letra b) del apartado 2 del artículo 5 y en el apartado 5 del mismo artículo, sin impedir a los titulares de los derechos la adopción de medidas adecuadas respecto del número de reproducciones de conformidad con tales disposiciones.

Tanto las medidas tecnológicas adoptadas voluntariamente por los titulares de los derechos, incluidas las derivadas de acuerdos voluntarios, como las adoptadas en aplicación de medidas adoptadas por los Estados miembros, disfrutarán de la protección jurídica prevista en el apartado 1.

Lo dispuesto en los párrafos primero y segundo no será de aplicación a obras o prestaciones que se hayan puesto a disposición del público con arreglo a lo convenido por contrato, de tal forma que personas concretas del público puedan acceder a ellas desde un lugar y en un momento que ella misma haya elegido.

Cuando el presente artículo se aplique en el contexto de las Directivas 92/100/CEE y 96/9/CE, el presente apartado se aplicará mutatis mutandis.
Artículo 7. Obligaciones relativas a la información para la gestión de derechos

1. Los Estados miembros establecerán una protección jurídica adecuada frente a todas aquellas personas que a sabiendas lleven a cabo sin autorización cualquiera de los siguientes actos:

a) supresión o alteración de toda información para la gestión electrónica de derechos,

b) distribución, importación para distribución, emisión por radiodifusión, comunicación o puesta a disposición del público de obras o prestaciones protegidas de conformidad con lo dispuesto en la presente Directiva o en el Capítulo III de la Directiva 96/9/CE en las que se haya suprimido o alterado sin autorización la información para la gestión electrónica de derechos,

sabiendo, o teniendo motivos razonables para saber que al hacerlo inducen, permiten, facilitan o encubren una violación de los derechos de autor o los derechos afines a los derechos de autor establecidos por una norma jurídica, o el derecho sui generis previsto en el Capítulo III de la Directiva 96/9/CE.

2. A efectos de la presente Directiva, se entenderá por “información para la gestión de derechos” toda información facilitada por los titulares de los derechos que identifique la obra o prestación protegida contemplada en la presente Directiva, o a que se refiere el derecho sui generis previsto en el Capítulo III de la Directiva 96/9/CE, al autor o cualquier otro derechohabiente, o información sobre las condiciones de utilización de la obra o prestación protegida, así como cualesquiera números o códigos que representen dicha información.

El párrafo primero se aplicará cuando alguno de estos elementos de información vaya asociado a una copia de una obra o prestación o aparezca en conexión con la comunicación al público de una obra o prestación protegida prevista en la presente Directiva o cubierta por el derecho sui generis previsto en el Capítulo III de la Directiva 96/9/CE.
CAPÍTULO IV. DISPOSICIONES COMUNES

Artículo 8. Sanciones y vías de recurso

1. Los Estados miembros establecerán las sanciones y vías de recurso adecuadas en relación con la violación de los derechos y las obligaciones previstos en la presente Directiva y adoptarán cuantas disposiciones resulten necesarias para garantizar que se apliquen tales sanciones y vías de recurso. Las sanciones deberán ser efectivas, proporcionadas y disuasorias.

2. Cada uno de los Estados miembros adoptará las medidas necesarias para garantizar que los titulares de los derechos cuyos intereses se vean perjudicados por una actividad ilícita llevada a cabo en su territorio puedan interponer una acción de resarcimiento de daños y perjuicios y/o solicitar medidas cautelares y, en su caso, que se incaute el material ilícito y los dispositivos, productos o componentes a que se refiere el apartado 2 del artículo 6.

3. Los Estados miembros velarán por que los titulares de los derechos estén en condiciones de solicitar medidas cautelares contra los intermediarios a cuyos servicios recurra un tercero para infringir un derecho de autor o un derecho afín a los derechos de autor.
Artículo 9. Continuación de la vigencia de otras disposiciones legales

La presente Directiva se entenderá sin perjuicio de las disposiciones relativas, en particular, a los derechos de patente, las marcas comerciales, los dibujos y modelos, los modelos de utilidad, las topografías de productos semiconductores, los tipos de caracteres de imprenta, el acceso condicional, el acceso al cable por parte de los servicios de radiodifusión, la protección del patrimonio nacional, los requisitos sobre depósito legal, la legislación sobre prácticas restrictivas y competencia desleal, el secreto comercial, la seguridad, la confidencialidad, la protección de datos y el derecho a la intimidad, el acceso a los documentos públicos y el derecho de contratos.
Artículo 10. Aplicación en el tiempo

1. Las disposiciones de la presente Directiva se aplicarán a todas las obras y prestaciones a que se refiere la presente Directiva que, el 22 de diciembre de 2002, estén protegidos por la legislación de los Estados miembros en materia de derechos de autor y derechos afines a los derechos de autor o cumplan los requisitos para su protección de acuerdo con lo previsto en la presente Directiva o en las disposiciones a que se hace referencia en el apartado 2 de su artículo 1.

2. La presente Directiva se aplicará sin perjuicio de los actos celebrados y de los derechos adquiridos antes del.
Artículo 11. Adaptaciones técnicas

1. La Directiva 92/100/CEE queda modificada del siguiente modo:

a) se suprime el artículo 7,

b) el apartado 3 del artículo 10 se sustituye por el texto siguiente: “3. Las limitaciones únicamente se aplicarán en determinados casos especiales que no entren en conflicto con la explotación normal de la prestación en cuestión y no perjudiquen injustificadamente los intereses legítimos del titular del derecho.”.

2. El apartado 2 del artículo 3 de la Directiva 93/98/CEE se sustituye por el texto siguiente: “2. Los derechos de los productores de fonogramas expirarán cincuenta años después de que se haya hecho la grabación. No obstante, si el fonograma se publica lícitamente durante dicho período, los derechos expirarán cincuenta años después de la fecha de la primera publicación lícita. Si durante el citado período no se efectúa publicación lícita alguna pero el fonograma se comunica lícitamente al público, dichos derechos expirarán cincuenta años después de la fecha de la primera comunicación lícita al público.

No obstante, si debido a la expiración del plazo de protección concedido en virtud del presente apartado en su versión anterior a la modificación por la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (11), los derechos de los productores de fonogramas ya no están protegidos el 22 de diciembre de 2002, el presente apartado no surtirá el efecto de proteger nuevamente dichos derechos.”.
Artículo 12. Disposiciones finales

1. A más tardar el, y posteriormente cada tres años, la Comisión presentará al Parlamento Europeo, al Consejo y al Comité Económico y Social un informe sobre la aplicación de la presente Directiva, en el que, basándose, entre otras cosas, en la información específica facilitada por los Estados miembros, se examinará en particular la aplicación de los artículos 5, 6 y 8 a la vista del desarrollo del mercado digital. En el caso del artículo 6, se estudiará en particular si dicho artículo confiere un nivel de protección suficiente y si los actos permitidos por la legislación se están viendo afectados negativamente por el uso de medidas tecnológicas eficaces. En su caso, a fin de garantizar en particular el correcto funcionamiento del mercado interior con arreglo a lo dispuesto en el artículo 14 del Tratado, la Comisión presentará propuestas de modificación de la presente Directiva.

2. La protección de los derechos afines a los derechos de autor con arreglo a la presente Directiva no afectará en ningún modo a la protección garantizada a los derechos de autor.

3. Se creará un Comité de contacto formado por representantes de las autoridades competentes de los Estados miembros. Estará presidido por un representante de la Comisión. Este Comité se reunirá bien a iniciativa del presidente, bien a petición de la delegación de un Estado miembro.

4. Las funciones del Comité serán las siguientes:

a) examinar las repercusiones de la presente Directiva sobre el funcionamiento del mercado interior y señalar las dificultades que puedan surgir;

b) organizar consultas acerca de todas las cuestiones que plantee la aplicación de la presente Directiva;

c) facilitar el intercambio de información sobre todos los aspectos significativos de la evolución de la legislación y la jurisprudencia, así como las novedades económicas, sociales, culturales y tecnológicas significativas;

d) actuar como un foro de evaluación del mercado digital de las obras y otras prestaciones, incluidos la copia privada y el uso de medidas tecnológicas.
Artículo 13. Aplicación

1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva antes del 22 de diciembre de 2002. Informarán de ello inmediatamente a la Comisión.

Cuando los Estados miembros adopten dichas disposiciones, éstas contendrán una referencia a la presente Directiva o irán acompañadas de tal referencia en el momento de su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 14. Entrada en vigor

La presente Directiva entrará en vigor el día de su publicación en el Diario Oficial de las Comunidades Europeas.
Artículo 15. Destinatarios

Los destinatarios de la presente Directiva serán los Estados miembros.
Hecho en Bruselas, el 22 de mayo de 2001.
Por el Parlamento Europeo

La Presidenta, N. Fontaine
Por el Consejo

El Presidente, M. Winberg

————————————————————————————————–
(1) DO C 108 de 7.4.1998, p. 6, y DO C 180 de 25.6.1999, p. 6.

(2) DO C 407 de 28.12.1998, p. 30.

(3) Dictamen del Parlamento Europeo de 10 de febrero de 1999 (DO C 150 de 28.5.1999, p. 171), Posición común del Consejo de 28 de septiembre de 2000 (DO C 344 de 1.12.2000, p. 1) y Decisión del Parlamento Europeo de 14 de febrero de 2001 . Decisión del Consejo de 9 de abril de 2001.

(4) DO L 178 de 17.7.2000, p. 1.

(5) Directiva 91/250/CEE del Consejo, de 14 de mayo de 1991, sobre la protección jurídica de programas de ordenador (DO L 122 de 17.5.1991, p. 42). Directiva modificada por la Directiva 93/98/CEE.

(6) Directiva 92/100/CEE del Consejo, de 19 de noviembre de 1992, sobre derechos de alquiler y préstamo y otros derechos afines a los derechos de autor en el ámbito de la propiedad intelectual (DO L 346 de 27.11.1992, p. 61). Directiva modificada por la Directiva 93/98/CEE.

(7) Directiva 93/83/CEE del Consejo, de 27 de septiembre de 1993, sobre coordinación de determinadas disposiciones relativas a los derechos de autor y derechos afines a los derechos de autor en el ámbito de la radiodifusión vía satélite y de la distribución por cable (DO L 248 de 6.10.1993, p. 15).

(8) Directiva 93/98/CEE del Consejo, de 29 de octubre de 1993, relativa a la armonización del plazo de protección del derecho de autor y de determinados derechos afines (DO L 290 de 24.11.1993, p. 9).

(9) Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (DO L 77 de 27.3.1996, p. 20).

(10) DO L 281 de 23.11.1995, p. 31.

(11) DO L 167 de 22.6.2001, p. 10.

———————————————————————————————————————–

24Oct/95

Directiva 95/46/CE

Directiva 95/46/CE, de 24 de octubre de 1995. (Derogada por Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto  el  Tratado constitutivo de la Comunidad Europea, y, en particular, su artículo 100 A,

Vista la propuesta de la Comisión,

Visto el dictamen del Comité Económico y Social,

De  conformidad  con  el  procedimiento establecido en el artículo 189 B del Tratado,

(1)  Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr  una  unión  cada  vez  más  estrecha  entre  los  pueblos  europeos, establecer  relaciones  más  estrechas  entre  los  Estados  miembros  de la Comunidad,  asegurar,  mediante  una  acción  común, el progreso económico y social,  eliminando  las  barreras  que dividen Europa, fomentar la continua mejora  de las condiciones de vida de sus pueblos, preservar y consolidar la paz  y  la  libertad  y  promover  la  democracia, basándose en los derechos fundamentales  reconocidos  en  las  constituciones  y  leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales;

(2)  Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las  personas  físicas,  respetar las libertades v derechos fundamentales de las  personas  físicas  y,  en  particular,  la  intimidad,  y contribuir al progreso  económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos;

(3)  Considerando  que  el  establecimiento  y  funcionamiento  del  mercado interior,  dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado,   la   libre  circulación  de  mercancías,  personas,  servicios  y capitales,  hacen necesaria no sólo la libre circulación de datos personales de  un  Estado  miembro  a  otro, sino también la protección de los derechos fundamentales de las personas;

(4)  Considerando que se recurre cada vez más en la Comunidad al tratamiento de  datos  personales  en  los  diferentes sectores de actividad económica y social;  que  el  avance  de  las  tecnologías  de  la  información facilita considerablemente el tratamiento y el intercambio de dichos datos;

(5)  Considerando  que  la  integración  económica  y  social resultante del establecimiento  y  funcionamiento  del  mercado  interior,  definido  en el artículo 7 A del Tratado, va a implicar necesariamente un aumento notable de los  flujos  transfronterizos de datos personales entre todos los agentes de la  vida  económica y social de los Estados miembros, ya se trate de agentes públicos  o  privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que  las  administraciones nacionales de los diferentes Estados miembros, en aplicación  del  Derecho  comunitario,  están  destinadas  a  colaborar  y a intercambiar  datos  personales  a  fin  de  cumplir  su  cometido o ejercer funciones  por  cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior;

(6)  Considerando,  por  lo  demás, que el fortalecimiento de la cooperación científica y técnica, así como el establecimiento coordinado de nuevas redes de  telecomunicaciones  en  la  Comunidad  exigen y facilitan la circulación transfronteriza de datos personales;

(7)  Considerando que las diferencias entre los niveles de protección de los derechos  y  libertades  de  las personas y, en particular, de la intimidad, garantizados  en  los Estados miembros por lo que respecta al tratamiento de datos  personales,  pueden  impedir  la  transmisión  de  dichos  datos  del territorio  de  un  Estado  miembro  al  de  otro;  que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades  económicas  a  escala  comunitaria,  falsear  la  competencia e impedir  que  las administraciones cumplan los cometidos que les incumben en virtud  del  Derecho  comunitario;  que  estas diferencias en los niveles de protección  se  deben  a  la  disparidad  existente  entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

(8) Considerando que, para eliminar los obstáculos a la circulación de datos personales,  el  nivel  de  protección  de  los derechos y libertades de las personas,  por  lo  que  se refiere al tratamiento de dichos datos, debe ser equivalente  en  todos los Estados miembros; que ese objetivo, esencial para el  mercado  interior,  no  puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la  materia  y  la  necesidad  de coordinar las legislaciones de los Estados miembros  para que el flujo transfronterizo de datos personales sea regulado de  forma  coherente  y  de conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;

(9) Considerando que, a causa de la protección equivalente que resulta de la aproximación  de  las  legislaciones  nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos  de protección de los derechos y libertades de las personas físicas, y,  en  particular,  del  derecho  a  la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de  la  aplicación de la presente Directiva, los interlocutores económicos y sociales;  que  los  Estados  miembros  podrán, por lo tanto, precisar en su derecho  nacional  las  condiciones  generales de licitud del tratamiento de datos;  que,  al  actuar  así,  los  Estados  miembros procurarán mejorar la protección  que  proporciona su legislación en la actualidad; que, dentro de los  límites  de  dicho  margen  de maniobra y de conformidad con el Derecho comunitario,  podrán  surgir  disparidades  en  la aplicación de la presente Directiva,  y  que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad;

(10)  Considerando que las legislaciones nacionales relativas al tratamiento de  datos personales tienen por objeto garantizar el respeto de los derechos y  libertades  fundamentales,  particularmente  del derecho al respeto de la vida  privada  reconocido  en  el  artículo  8  del Convenio Europeo para la Protección  de  los  Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la  aproximación  de dichas legislaciones no debe conducir a una disminución de  la  protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

(11)  Considerando  que  los  principios  de la protección de los derechos y libertades  de  las  personas y, en particular, del respeto de la intimidad, contenidos  en la presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales;

(12)  Considerando  que  los  principios  de la protección deben aplicarse a todos  los  tratamientos  de  datos  personales  cuando  las actividades del responsable  del  tratamiento  entren en el ámbito de aplicación del Derecho comunitario;  que  debe  excluirse el tratamiento de datos efectuado por una persona  física  en  el ejercicio de actividades exclusivamente personales o domésticas,  como  la  correspondencia  y  la  llevanza  de un repertorio de direcciones;

(13)  Considerando  que las actividades a que se refieren los títulos V y VI del  Tratado  de  la  Unión  Europea  relativos  a  la seguridad pública, la defensa,  la  seguridad del Estado y las actividades del Estado en el ámbito penal  no  están  comprendidas  en  el  ámbito  de  aplicación  del  Derecho comunitario,  sin  perjuicio  de las obligaciones que incumben a los Estados miembros  con  arreglo  al apartado 2 del artículo 56 y a los artículos 57 y 100  A del Tratado; que el tratamiento de los datos de carácter personal que sea  necesario  para  la  salvaguardia del bienestar económico del Estado no está  comprendido en el ámbito de aplicación de la presente Directiva en los casos en que dicho tratamiento esté relacionado con la seguridad del Estado;

(14)  Considerando  que, habida cuenta de la importancia que, en el marco de la  sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos  a  las  personas  físicas  constituidos  por  sonido e imagen, la presente  Directiva  habrá  de  aplicarse  a  los tratamientos que afectan a dichos datos;

(15)  Considerando  que  los  tratamientos  que  afectan a dichos datos sólo quedan  amparados  por  la  presente  Directiva cuando están automatizados o cuando  los datos a que se refieren se encuentran contenidos o se destinan a encontrarse   contenidos   en   un   archivo  estructurado  según  criterios específicos  relativos  a  las  personas,  a  fin  de  que  le pueda acceder fácilmente a los datos de carácter personal de que se trata;

(16)  Considerando  que  los tratamientos de datos constituidos por sonido e imagen,  como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de  seguridad  pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el  ejercicio de otras actividades que no están comprendidos en el ámbito de aplicación del Derecho comunitario;

(17)  Considerando  que en lo que respecta al tratamiento del sonido y de la imagen  aplicados  con  fines  periodísticos  o  de  expresión  literaria  o artística,  en  particular  en  el  sector audiovisual, los principios de la Directiva  se aplican de forma restringida según lo dispuesto en al artículo 9;

(18)  Considerando  que,  para  evitar  que  una  persona sea excluida de la protección  garantizada  por  la  presente  Directiva, es necesario que todo tratamiento  de  datos  personales  efectuado  en  la  Comunidad  respete la legislación  de  uno  de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que  actúe  bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19)  Considerando  que  el  establecimiento  en  el territorio de un Estado miembro  implica  el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple  sucursal  o  una  empresa filial con personalidad jurídica, no es un factor  determinante  al  respecto;  que  cuando  un  mismo responsable esté establecido  en  el territorio de varios Estados miembros, en particular por medio  de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las  obligaciones  impuestas  por  el  Derecho  nacional  aplicable  a estas actividades;

(20)  Considerando  que  el  hecho  de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de  las personas contemplada en la presente Directiva; que en estos casos el tratamiento  de  datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se  respeten  en  la práctica los derechos y obligaciones contempladas en la presente Directiva;

(21)  Considerando  que  la  presente  Directiva  no  afecta a las normas de territorialidad aplicables en materia penal;

(22) Considerando que los Estados miembros precisarán en su legislación o en la  aplicación  de  las  disposiciones  adoptadas  en  virtud de la presente Directiva  las  condiciones  generales  de licitud del tratamiento de datos; que,  en  particular,  el  artículo  5  en relación con los artículos 7 y 8, ofrece  a  los Estados miembros la posibilidad de prever, independientemente de  las  normas generales, condiciones especiales de tratamiento de datos en sectores  específicos,  así  como  para  las  diversas  categorías  de datos contempladas en el artículo 8;

(23)  Considerando que los Estados miembros están facultados para garantizar la  protección  de las personas tanto mediante una ley general relativa a la protección de las personas respecto del tratamiento de los datos de carácter personal   como  mediante  leyes  sectoriales,  como  las  relativas  a  los institutos estadísticos;

(24)  Considerando  que  las  legislaciones relativas a la protección de las personas  jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva;

(25)  Considerando  que los principios de la protección tienen su expresión, por  una  parte,  en las distintas obligaciones que incumben a las personas, autoridades  públicas,  empresas,  agencias  u otros organismos que efectúen tratamientos  -obligaciones  relativas,  en  particular, a la calidad de los datos,  la seguridad técnica, la notificación a las autoridades de control y las  circunstancias en las que se puede efectuar el tratamiento- y, por otra parte,  en  los derechos otorgados a las personas cuyos datos sean objeto de tratamiento  de ser informadas acerca de dicho tratamiento, de poder acceder a  los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias;

(26)  Considerando  que  los principios de la protección deberán aplicarse a cualquier  información  relativa a una persona identificada o identificable; que,  para determinar si una persona es identificable, hay que considerar el conjunto  de  los  medios  que  puedan  ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha  persona;  que  los  principios  de  la  protección  no se aplicarán a aquellos  datos  hechos  anónimos  de  manera  tal  que  ya  no  sea posible identificar  al  interesado;  que  los  códigos  de  conducta con arreglo al artículo   27   pueden   constituir   un  elemento  útil  para  proporcionar indicaciones  sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado;

(27)  Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de  esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en  particular,  el  contenido  de  un fichero debe estructurarse conforme a criterios  específicos  relativos  a  las  personas,  que  permitan  acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge  la  letra  c)  del  artículo 2, los distintos criterios que permiten determinar  los  elementos  de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos  pueden  ser  definidos  por  cada Estado miembro; que, las carpetas y conjuntos  de  carpetas,  así  como sus portadas, que no estén estructuradas conforme  a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva;

(28)  Considerando  que todo tratamiento de datos personales debe efectuarse de  forma  lícita  y leal con respecto al interesado; que debe referirse, en particular,  a  datos  adecuados, pertinentes y no excesivos en relación con los  objetivos  perseguidos;  que  estos  objetivos  han de ser explícitos y legítimos,  y  deben  estar determinados en el momento de obtener los datos; que  los  objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados;

(29) Considerando que el tratamiento ulterior de datos personales, con fines históricos,  estadísticos  o científicos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y  cuando  los  Estados  miembros  establezcan  las garantías adecuadas; que dichas garantías deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona;

(30)  Considerando  que  para  ser lícito el tratamiento de datos personales debe  basarse además en el consentimiento del interesado o ser necesario con vistas  a  la  celebración  o  ejecución  de  un  contrato  que  obligue  al interesado,  o  para  la  observancia  de  una  obligación  legal  o para el cumplimiento  de  una  misión  de  interés público o para el ejercicio de la autoridad  pública  o  incluso para la realización de un interés legítimo de una  persona,  siempre  que  no  prevalezcan  los intereses o los derechos y libertades  del  interesado; que, en particular, para asegurar el equilibrio de  los  intereses en juego, garantizando a la vez una competencia efectiva, los  Estados  miembros  pueden precisar las condiciones en las que se podrán utilizar  y comunicar a terceros datos de carácter personal, en el desempeño de actividades legítimas de gestión ordinaria de empresas y otras entidades; que   los  Estados  miembros  pueden  asimismo  establecer  previamente  las condiciones  en  que  pueden efectuarse comunicaciones de datos personales a terceros  con  fines de prospección comercial o de prospección realizada por una  institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter  político,  dentro  del respeto de las disposiciones que permiten a los   interesados  oponerse,  sin  alegar  los  motivos  y  sin  gastos,  al tratamiento de los datos que les conciernan;

(31)  Considerando  que  un  tratamiento  de datos personales debe estimarse lícito  cuando se efectúa con el fin de proteger un interés esencial para la vida del interesado;

(32)  Considerando que corresponde a las legislaciones nacionales determinar si  el responsable del tratamiento que tiene conferida una misión de interés público   o   inherente  al  ejercicio  del  poder  público,  debe  ser  una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional;

(33)  Considerando, por lo demás, que los datos que por su naturaleza puedan atentar  contra  las  libertades  fundamentales  o la intimidad no deben ser objeto  de  tratamiento alguno, salvo en caso de que el interesado haya dado su  consentimiento  explícito;  que  deberán  constar de forma explícita las excepciones  a  esta prohibición para necesidades específicas, en particular cuando  el tratamiento de dichos datos se realice con fines relacionados con la  salud, por parte de personas físicas sometidas a una obligación legal de secreto  profesional,  o  para  actividades  legítimas  por parte de ciertas asociaciones  o  fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales;

(34)  Considerando  que  también se deberá autorizar a los Estados miembros, cuando  esté  justificado por razones de interés público importante, a hacer excepciones  a  la  prohibición  de  tratar categorías sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo  a  la  garantía  -de  la  calidad  y la rentabilidad, así como los procedimientos  utilizados para resolver las reclamaciones de prestaciones y de   servicios  en  el  régimen  del  seguro  enfermedad,  la  investigación científica  y  las  estadísticas  públicas;  que  a  ellos  corresponde,  no obstante,  prever  las  garantías  apropiadas  y  específicas a los fines de proteger los derechos fundamentales y la vida privada de las personas;

(35)  Considerando, además, que el tratamiento de datos personales por parte de   las   autoridades  públicas  con  fines,  establecidos  en  el  Derecho constitucional  o  en  el  Derecho  internacional  público,  de asociaciones religiosas  reconocidas  oficialmente, se realiza por motivos importantes de interés público;

(36)  Considerando  que,  si en el marco de actividades relacionadas con las elecciones,  el  funcionamiento  del  sistema democrático en algunos Estados miembros  exige  que los partidos políticos recaben datos sobre la ideología política  de los ciudadanos, podrá autorizarse el tratamiento de estos datos por  motivos  importantes de interés público, siempre que se establezcan las garantías adecuadas;

(37)  Considerando  que  para  el  tratamiento de datos personales con fines periodísticos  o  de  expresión  artística  o literaria, en particular en el sector   audiovisual,   deben   preverse   excepciones  o  restricciones  de determinadas  disposiciones  de  la  presente Directiva siempre que resulten necesarias  para  conciliar  los derechos fundamentales de la persona con la libertad  de  expresión y, en particular, la libertad de recibir o comunicar informaciones,  tal  y  como  se  garantiza  en  el artículo 10 del Convenio Europeo  para  la  Protección  de  los  Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde   a   los   Estados   miembros  prever  las  excepciones  y  las restricciones  necesarias  en  lo  relativo a las medidas generales sobre la legalidad  del  tratamiento  de datos, las medidas sobre la transferencia de datos a terceros países y las competencias de las autoridades de control sin que  esto  deba  inducir,  sin  embargo,  a  los  Estados  miembros a prever excepciones  a las medidas que garanticen la seguridad del tratamiento; que, igualmente,  debería  concederse a la autoridad de control responsable en la materia  al  menos  una  serie de competencias a posteriori como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales;

(38)   Considerando  que  el  tratamiento  leal  de  datos  supone  que  los interesados  deben  estar  en  condiciones  de  conocer la existencia de los tratamientos y, cuando los datos se obtengan de ellos mismos, contar con una información  precisa  y  completa  respecto  a  las  circunstancias de dicha obtención;

(39)  Considerando  que determinados tratamientos se refieren a datos que el responsable no ha recogido directamente del interesado; que, por otra parte, pueden  comunicarse  legítimamente  datos  a  un  tercero  aún  cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos del  propio  interesado;  que,  en todos estos supuestos, debe informarse al interesado  en  el  momento  del  registro  de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero;

(40)  Considerando, no obstante, que no es necesario imponer esta obligación si  el  interesado ya está informado, si el registro o la comunicación están expresamente  previstos por la ley o si resulta imposible informarle, o ello implica   esfuerzos   desproporcionados,   como   puede  ser  el  caso  para tratamientos  con  fines  históricos, estadísticos o científicos; que a este respecto  pueden  tomarse  en  consideración  el  número  de interesados, la antigüedad de los datos, y las posibles medidas compensatorias;

(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a   los  datos  que  le  conciernan  y  sean  objeto  de  tratamiento,  para cerciorarse,  en  particular,  de  su  exactitud  y  de  la  licitud  de  su tratamiento;  que por las mismas razones cualquier persona debe tener además el  derecho  de conocer la lógica que subyace al tratamiento automatizado de los  datos  que  la  conciernan,  al  menos  en  el  caso  de las decisiones automatizadas  a  que  se  refiere  el  apartado 1 del artículo 15; que este derecho  no  debe  menoscabar  el  secreto  de  los negocios ni la propiedad intelectual  y  en  particular  el  derecho de autor que proteja el programa informático;  que no obstante esto no debe suponer que se deniegue cualquier información al interesado;

(42)  Considerando  que,  en  interés  del interesado de que se trate y para proteger  los derechos y libertades de terceros, los Estados miembros podrán limitar  los  derechos  de acceso y de información; que podrán, por ejemplo, precisar  que  el  acceso  a  los  datos de carácter médico únicamente pueda obtenerse a través de un profesional de la medicina;

(43)  Considerando  que  los Estados miembros podrán imponer restricciones a los  derechos  de  acceso  e  información  y a determinadas obligaciones del responsable  del  tratamiento,  en  la  medida  en  que  sean  estrictamente necesarias  para,  por  ejemplo,  salvaguardar  la  seguridad del Estado, la defensa,  la  seguridad  pública,  los  intereses  económicos  o financieros importantes  de  un  Estado  miembro  o  de la Unión, así como para realizar investigaciones y entablar procedimientos penales y perseguir violaciones de normas  deontológicas en las profesiones reguladas; que conviene enumerar, a efectos  de  excepciones y limitaciones, las tareas de control, inspección o reglamentación necesarias en los tres últimos sectores mencionados relativos a  la  seguridad  pública,  los  intereses  económicos  o  financieros  y la represión  penal;  que  esta  enumeración  de  tareas  relativas  a los tres sectores   citados   no  afecta  a  la  legitimidad  de  las  excepciones  y restricciones establecidas por razones de seguridad del Estado o de defensa;

(44) Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del Derecho comunitario, a establecer excepciones a las disposiciones  de la presente Directiva relativas al derecho de acceso, a la información de personas y a la, calidad de los datos para garantizar algunas de las finalidades contempladas más arriba;

(45)  Considerando que cuando se pudiera efectuar lícitamente un tratamiento de  datos  por  razones  de  interés público o del ejercicio de la autoridad pública,  o  en  interés  legítimo  de una persona física, cualquier persona deberá,  sin  embargo,  tener  derecho  a  oponerse  a  que los datos que le conciernan  sean  objeto  de un tratamiento, en virtud de motivos fundados y legítimos  relativos  a  su  situación  concreta;  que  los Estados miembros tienen,  no  obstante, la posibilidad de establecer disposiciones nacionales contrarias;

(46)  Considerando  que  la  protección  de los derechos y libertades de los interesados  en lo que respecta a los tratamientos de datos personales exige la  adopción  de  medidas técnicas y de organización apropiadas, tanto en el momento  de  la  concepción  del  sistema  de  tratamiento  como en el de la aplicación  de  los tratamientos mismos, sobre todo con objeto de garantizar la  seguridad  e  impedir,  por  tanto,  todo tratamiento no autorizado; que corresponde  a  los  Estados  miembros  velar  por  que los responsables del tratamiento  respeten dichas medidas; que esas medidas deberán garantizar un nivel  de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste  de  su  aplicación  en  relación  con  los  riesgos  que  presente el tratamiento y con la naturaleza de los datos que deban protegerse;

(47) Considerando que cuando un mensaje con datos personales sea transmitido a  través  de  un servicio de telecomunicaciones o de correo electrónico cuyo único  objetivo  sea  transmitir  mensajes  de  ese  tipo,  será considerada normalmente responsable del tratamiento de los datos personales presentes en el  mensaje  aquella persona de quien proceda el mensaje y no la que ofrezca el  servicio  de  transmisión;  que,  no obstante, las personas que ofrezcan estos  servicios normalmente serán consideradas responsables del tratamiento de  los datos personales complementarios y necesarios para el funcionamiento del servicio;

(48)  Considerando  que los procedimientos de notificación a la autoridad de control  tienen  por  objeto  asegurar  la  publicidad  de  los fines de los tratamientos y de sus principales características a fin de controlarlos a la luz  de  las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(49)  Considerando  que  para evitar trámites administrativos improcedentes, los  Estados  miembros pueden establecer exenciones o simplificaciones de la notificación  para los tratamientos que no atenten contra los derechos y las libertades  de  los  interesados,  siempre y cuando sean conformes a un acto adoptado  por  el  Estado miembro en el que se precisen sus límites; que los Estados  miembros pueden igualmente disponer la exención o la simplificación cuando  un  encargado,  nombrado  por  el  responsable  del  tratamiento, se cerciore  de  que  los  tratamientos efectuados no pueden atentar contra los derechos  y  libertades  de  los interesados; que la persona encargada de la protección  de  los datos, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con total independencia;

(50) Considerando que podrán establecerse exenciones o simplificaciones para los  tratamientos  cuya  única  finalidad  sea el mantenimiento de registros destinados,  de  conformidad  con  el Derecho nacional, a la información del público y que sean accesibles para la consulta del público o de toda persona que justifique un interés legítimo;

(51)  Considerando,  no obstante, que el beneficio de la simplificación o de la  exención de la obligación de notificación no dispensa al responsable del tratamiento  de  ninguna  de las demás obligaciones derivadas de la presente Directiva;

(52)  Considerando  que, en este contexto, el control a posteriori por parte de  las  autoridades  competentes  debe considerarse, en general, una medida suficiente;

(53)   Considerando,  no  obstante,  que  determinados  tratamientos  pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades  de  los  interesados,  ya sea por su naturaleza, su alcance o su finalidad,  como  los  de  excluir  a  los  interesados  del beneficio de un derecho,  de una prestación o de un contrato, o por el uso particular de una tecnología  nueva;  que  es  competencia  de los Estados miembros, si así lo desean, precisar tales riesgos en sus legislaciones;

(54)  Considerando que, a la vista de todos los tratamientos llevados a cabo en  la  sociedad,  el número de los que presentan tales riesgos particulares debería ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control  o  del  encargado  de  la  protección  de  datos en cooperación con aquélla;  que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podrá emitir un dictamen o autorizar el  tratamiento de datos; que este examen previo podrá realizarse también en el  curso  de  la  elaboración  de  una  medida  legislativa aprobada por el Parlamento  nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del tratamiento y precise las garantías adecuadas;

(55)  Considerando  que las legislaciones nacionales deben prever un recurso judicial  para  los casos en los que el responsable del tratamiento de datos no  respete los derechos de los interesados; que los daños que pueden sufrir las  personas  a  raíz de un tratamiento ilícito han de ser reparados por el responsable  del  tratamiento  de  datos,  el cual sólo podrá ser eximido de responsabilidad  si  demuestra  que no le es imputable el hecho perjudicial, principalmente  si  demuestra la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(56)  Considerando  que  los flujos transfronterizos de datos personales son necesarios  para la desarrollo del comercio internacional; que la protección de  las personas garantizada en la Comunidad por la presente Directiva no se opone  a  la  transferencia  de  datos  personales  a  terceros  países  que garanticen  un  nivel  de  protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta  todas  las  circunstancias  relacionadas  con  la transferencia o la categoría de transferencias;

(57)  Considerando, por otra parte, que cuando un país tercero no ofrezca un nivel  de  protección  adecuado debe prohibirse la transferencia al mismo de datos personales;

(58)  Considerando que han de establecerse excepciones a esta prohibición en determinadas   circunstancias,   cuando   el   interesado   haya   dado   su consentimiento,  cuando  la  transferencia  sea necesaria en relación con un contrato  o  una  acción  judicial,  cuando así lo exija la protección de un interés   público   importante,   por  ejemplo  en  casos  de  transferencia internacional  de  datos  entre  las administraciones fiscales o aduaneras o entre  los servicios competentes en materia de seguridad social, o cuando la transferencia se haga desde un registro previsto en la legislación con-fines de  consulta  por  el público o por personas con un interés legítimo; que en tal  caso  dicha transferencia no debe afectar a la totalidad de los datos o las  categorías de datos que contenga el mencionado registro; que, cuando la finalidad de un registro sea la consulta por parte de personas que tengan un interés  legítimo, la transferencia sólo debería poder efectuarse a petición de dichas personas o cuando éstas sean las destinatarias;

(59)  Considerando  que pueden adoptarse medidas particulares para paliar la insuficiencia  del  nivel de protección en un tercer país, en caso de que el responsable  del tratamiento ofrezca garantías adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los países terceros de que se trate;

(60)  Considerando  que,  en cualquier caso, las transferencias hacia países terceros  sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas  por  los Estados miembros en aplicación de la presente Directiva, y, en particular, de su artículo 8;

(61)  Considerando  que  los  Estados  miembros y la Comisión, dentro de sus respectivas  competencias,  deben  alentar a los sectores profesionales para que  elaboren  códigos  de  conducta  a  fin de facilitar, habida cuenta del carácter  específico  del  tratamiento  de  datos  efectuado en determinados sectores,   la   aplicación   de   la   presente  Directiva  respetando  las disposiciones nacionales adoptadas para su aplicación;

(62) Considerando que la creación de una autoridad de control que ejerza sus funciones  con  plena  independencia  en  cada  uno  de los Estados miembros constituye  un  elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

(63) Considerando que dicha autoridad debe disponer de los medios necesarios para  cumplir  su  función,  ya  se  trate  de poderes de investigación o de intervención,  en  particular  en  casos  de  reclamaciones presentadas a la autoridad  o  de  poder  comparecer  en  juicio;  que  tal  autoridad  ha de contribuir  a la transparencia de los tratamientos de datos efectuados en el Estado miembro del que dependa;

(64)  Considerando  que  las  autoridades  de los distintos Estados miembros habrán  de  prestarse ayuda mutua en el ejercicio de sus funciones, de forma que  se  garantice  el  pleno respeto de las normas de protección en toda la Unión Europea;

(65)  Considerando  que se debe crear, en el ámbito comunitario, un grupo de protección  de  las  personas  en  lo  que  respecta al tratamiento de datos personales,  el cual habrá de ejercer sus funciones con plena independencia; que,  habida  cuenta de este carácter específico, el grupo deberá asesorar a la  Comisión  y  contribuir,  en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva;

(66) Considerando que, por lo que respecta a la transferencia de datos hacia países  terceros,  la  aplicación  de  la presente Directiva requiere que se atribuya  a  la  Comisión  competencias  de  ejecución  y  que  se  cree  un procedimiento  con  arreglo  a  las  modalidades establecidas en la Decisión 87/373/CEE del Consejo;

(67) Considerando que el 20 de diciembre de 1994 se alcanzó un acuerdo sobre un  modus  vivendi  entre  el  Parlamento  Europeo, el Consejo y la Comisión concerniente  a  las  medidas  de  aplicación  de  los  actos  adoptados  de conformidad  con  el  procedimiento  establecido  en  el  artículo 189 B del Tratado CE;

(68)  Considerando  que  los  principios  de  protección  de  los derechos y libertades  de las personas y, en particular, del respeto de la intimidad en lo  que  se  refiere  al  tratamiento  de  los datos personales objeto de la presente   Directiva   podrán   completarse  o  precisarse,  sobre  todo  en determinados   sectores,  mediante  normas  específicas  conformes  a  estos principios;

(69)  Considerando  que  resulta oportuno conceder a los Estados miembros un plazo  que no podrá ser superior a tres años a partir de la entrada en vigor de  las  medidas nacionales de transposición de la presente Directiva, a fin de  que  puedan  aplicar  de  manera  progresiva  las  nuevas  disposiciones nacionales mencionadas a todos los tratamientos de datos ya existentes; que, con  el  fin  de  facilitar  una  aplicación que presente una buena relación coste/ eficacia,  se concederá a los Estados miembros un período suplementario que  expirará  a  los  doce  años  de  la fecha en que se adopte la presente Directiva,  para  garantizar  que  los ficheros manuales existentes en dicha fecha  se  hayan  ajustado  a  las disposiciones de la Directiva; que si los datos  contenidos  en  dichos  ficheros  son tratados efectivamente de forma manual  en  ese  período  transitorio  ampliado  deberán,  sin  embargo, ser ajustados a dichas disposiciones cuando se realice tal tratamiento;

(70)  Considerando  que  no es procedente que el interesado tenga que dar de nuevo su consentimiento a fin de que el responsable pueda seguir efectuando, tras la entrada en vigor de las disposiciones nacionales adoptadas en virtud de  la  presente Directiva, el tratamiento de datos sensibles necesario para la ejecución de contratos celebrados previo consentimiento libre e informado antes de la entrada en vigor de las disposiciones mencionadas;

(71)  Considerando  que  la  presente  Directiva no se opone a que un Estado miembro  regule  las  actividades  de prospección comercial destinadas a los consumidores  que  residan  en  su  territorio,  en  la  medida en que dicha regulación  no  afecte  a la protección de las personas en lo que respecta a tratamientos de datos personales;

(72)  Considerando que la presente Directiva autoriza que se tenga en cuenta el  principio  de  acceso  público  a  los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva,

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPITULO I . DISPOSICIONES GENERALES

Artículo 1. Objeto de la Directiva

1.  Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente  Directiva,  la  protección  de  las  libertades  y de los derechos fundamentales  de  las  personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2.   Los  Estados  miembros  no  podrán  restringir  ni  prohibir  la  libre circulación  de  datos  personales  entre  los  Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.

Artículo 2. Definiciones

A efectos de la presente Directiva, se entenderá por:

a)   “datos   personales”:   toda   información  sobre  una  persona  física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular  mediante  un  número  de identificación o uno o varios elementos específicos,  característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)  “tratamiento  de datos personales” “tratamiento”): cualquier operación o conjunto   de   operaciones,   efectuadas   o   no  mediante  procedimientos automatizados,  y  aplicadas a datos personales, como la recogida, registro, organización,   conservación,   elaboración   o   modificación,  extracción, consulta,  utilización,  comunicación  por transmisión, difusión o cualquier otra  forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c)  “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos  personales,  accesibles  con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

d)  “responsable  del  tratamiento”: la persona física o jurídica, autoridad pública,  servicio  o  cualquier otro organismo que sólo o conjuntamente con otros  determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones  legislativas  o  reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

e)  “encargado  del  tratamiento”:  la  persona física o jurídica, autoridad pública,  servicio  o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;

f)  “tercero”:  la  persona física o jurídica, autoridad pública, servicio o cualquier  otro  organismo  distinto  del  interesado,  del  responsable del tratamiento,  del  encargado  del  tratamiento y de las personas autorizadas para  tratar  los  datos  bajo  la  autoridad  directa  del  responsable del tratamiento o del encargado del tratamiento;

g) “destinatario”: la persona física o jurídica, autoridad pública, servicio o  cualquier  otro organismo que reciba comunicación de datos, se trate o no de  un  tercero.  No  obstante,  las  autoridades  que  puedan  recibir  una comunicación  de  datos en el marco de una investigación específica no serán considerados destinatarios;

h)  “consentimiento  del interesado”: toda manifestación de voluntad, libre, específica   e  informada,  mediante  la  que  el  interesado  consienta  el tratamiento de datos personales que le conciernan.

Artículo 3. Ámbito de aplicación

1.  Las  disposiciones  de la presente Directiva se aplicarán al tratamiento total   o  parcialmente  automatizado  de  datos  personales,  así  como  al tratamiento  no  automatizado  de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

–  efectuado  en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de  los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al  tratamiento  de  datos  que  tenga  por  objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

–   efectuado  por  una  persona  física  en  el  ejercicio  de  actividades exclusivamente personales o domésticas.

Artículo 4. Derecho nacional aplicable

1.  Los  Estados  miembros  aplicarán  las disposiciones nacionales que haya aprobado  para  la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)  el  tratamiento  sea  efectuado  en  el  marco  de las actividades de un establecimiento  del responsable del tratamiento en el territorio del Estado miembro.  Cuando el mismo responsable del tratamiento esté establecido en el territorio  de varios Estados miembros deberá adoptar las medidas necesarias para   garantizar  que  cada  uno  de  dichos  establecimientos  cumple  las obligaciones previstas por el Derecho nacional aplicable;

b)  el  responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad  y  recurra,  para  el  tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2.  En  el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

CAPITULO II. CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

Artículo 5. 

Los  Estados miembros precisarán, dentro de los límites de las disposiciones del  presente  capítulo, las condiciones en que son lícitos los tratamientos de datos personales.

SECCIÓN I. PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS

Artículo 6

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b)  recogidos  con  fines  determinados,  explícitos  y legítimos, y no sean tratados  posteriormente  de  manera  incompatible  con  dichos fines; no se considerará  incompatible  el  tratamiento  posterior  de  datos  con  fines históricos,  estadísticos  o  científicos,  siempre  y  cuando  los  Estados miembros establezcan las garantías oportunas;

c)  adecuados,  pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d)  exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas  razonables para que los datos inexactos o incompletos, con respecto a  los  fines  para  los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante  un  período  no  superior  al necesario para los fines para los que fueron  recogidos  o  para  los  que  se  traten  ulteriormente. Los Estados miembros  establecerán  las  garantías  apropiadas para los datos personales archivados  por  un  período más largo del mencionado, con fines históricos, estadísticos o científicos.

2.   Corresponderá   a   los  responsables  del  tratamiento  garantizar  el cumplimiento de lo dispuesto en el apartado 1.

SECCIÓN II. PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS

Artículo 7 

Los  Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte  o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c)  es  necesario  para  el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e)  es  necesario  para  el  cumplimiento de una misión de interés público o inherente  al  ejercicio  del  poder  público  conferido  al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f)  es necesario para la satisfacción del interés legítimo perseguido por el responsable  del  tratamiento  o  por  el  tercero  o  terceros a los que se comuniquen  los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

SECCIÓN III. CATEGORÍAS ESPECIALES DE TRATAMIENTOS

Artículo 8. Tratamiento de categorías especiales de datos

1.  Los  Estados  miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas   o  filosóficas,  la  pertenencia  a  sindicatos,  así  como  el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará cuando:

a)  el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la  prohibición  establecida  en  el  apartado  1 no pueda levantarse con el consentimiento del interesado, o

b)  el  tratamiento  sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la  medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas, o

c)  el  tratamiento  sea  necesario  para  salvaguardar el interés vital del interesado  o  de  otra  persona,  en  el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, o

d)  el  tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo  sin  fin  de  lucro,  cuya  finalidad  sea  política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a  las  personas  que  mantengan  contactos  regulares  con la fundación, la asociación  o  el  organismo  por razón de su finalidad y con tal de que los datos  no se comuniquen a terceros sin el consentimiento de los interesados, o

e)  el  tratamiento  se  refiera  a  datos  que  el  interesado  haya  hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

3.  El  apartado  1  no  se  aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia  sanitaria  o  tratamientos  médicos  o  la  gestión de servicios sanitarios,  siempre  que  dicho  tratamiento  de datos sea realizado por un profesional  sanitario  sujeto  al  secreto  profesional sea en virtud de la legislación  nacional,  o  de  las  normas  establecidas por las autoridades nacionales  competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

4.  Siempre  que  dispongan  las  garantías  adecuadas, los Estados miembros podrán,  por  motivos  de  interés  público  importantes,  establecer  otras excepciones,  además  de  las  previstas  en el apartado 2, bien mediante su legislación nacional, bien por decisión de la autoridad de control.

5.  El  tratamiento  de  datos  relativos a infracciones, condenas penales o medidas  de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas en el Derecho nacional, sin perjuicio  de  las  excepciones  que  podrá  establecer  el  Estado  miembro basándose  en  disposiciones  nacionales  que prevean garantías apropiadas y específicas.  Sin  embargo,  sólo  podrá  llevarse  un  registro completo de condenas penales bajo el control de los poderes públicos.

Los Estados miembros podrán establecer que el tratamiento de datos relativos a  sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.

6.  Las  excepciones  a  las disposiciones del apartado 1 que establecen los apartados 4 y 5 se notificarán a la Comisión.

7.  Los  Estados  miembros determinarán las condiciones en las que un número nacional  de  identificación  o  cualquier  otro  medio de identificación de carácter general podrá ser objeto de tratamiento.

Artículo 9. Tratamiento de datos personales y libertad de expresión

En  lo referente al tratamiento de datos personales con fines exclusivamente periodísticos  o  de  expresión  artística o literaria, los Estados miembros establecerán,  respecto  de  las  disposiciones  del  presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que  resulten  necesarias  para  conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.

SECCIÓN IV. INFORMACIÓN DEL INTERESADO

Artículo 10. Información en caso de obtención de datos recabados del propio interesado

Los  Estados  miembros  dispondrán  que  el responsable del tratamiento o su representante  deberán  comunicar a la persona de quien se recaben los datos que   le   conciernan,  por  lo  menos  la  información  que  se  enumera  a continuación, salvo si la persona ya hubiera sido informada de ello:

a)  la  identidad  del  responsable  del  tratamiento  y,  en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

–  el  carácter  obligatorio  o  no  de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–  la  existencia  de derechos de acceso y rectificación de los datos que la conciernen,

en  la medida en que, habida cuenta de las circunstancias específicas en que se  obtengan  los  datos,  dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

Artículo 11. Información cuando los datos no han sido recabados del propio interesado

1.  Cuando  los  datos  no  hayan sido recabados del interesado, los Estados miembros  dispondrán  que  el responsable del tratamiento o su representante deberán,  desde  el  momento  del registro de los datos o, en caso de que se piense  comunicar  datos  a  un  tercero,  a más tardar, en el momento de la primera  comunicación  de  datos,  comunicar  al  interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a)  la  identidad  del  responsable  del  tratamiento  y,  en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– las categorías de los datos de que se trate,

– los destinatarios o las categorías de destinatarios de los datos,

–  la  existencia  de derechos de acceso y rectificación de los datos que la conciernen,

en  la medida en que, habida cuenta de las circunstancias específicas en que se  hayan  obtenido  los  datos,  dicha  información  suplementaria  resulte necesaria  para  garantizar  un  tratamiento  de  datos  leal  respecto  del interesado.

2.  Las  disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento   con   fines   estadísticos  o  de  investigación  histórica  o científica,  cuando  la  información al interesado resulte imposible o exija esfuerzos  desproporcionados  o  el  registro o la comunicación a un tercero estén  expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.

SECCIÓN V. DERECHO DE ACCESO DEL INTERESADO A LOS DATOS

Artículo 12. Derecho de acceso

Los  Estados  miembros  garantizarán  a  todos los interesados el derecho de obtener del responsable del tratamiento:

a)  libremente,  sin  restricciones  y  con una periodicidad razonable y sin retrasos ni gastos excesivos:

–  la  confirmación de la existencia o inexistencia del tratamiento de datos que  le conciernen, así como información por lo menos de los fines de dichos tratamientos,  las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

–  la  comunicación,  en  forma  inteligible,  de  los  datos  objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;

–  el  conocimiento de la lógica utilizada en los tratamientos automatizados de  los  datos  referidos  al  interesado,  al  menos  en  los  casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15;

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento  no  se  ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c) la notificación a los terceros a quienes se hayan comunicado los datos de toda  rectificación,  supresión  o  bloqueo  efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.

SECCIÓN VI. EXCEPCIONES Y LIMITACIONES

Artículo 13. Excepciones y limitaciones

1.  Los  Estados  miembros  podrán  adoptar  medidas legales para limitar el alcance  de  las  obligaciones y los derechos previstos en el apartado 1 del artículo  6,  en  el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d)  la  prevención,  la  investigación,  la  detección  y  la  represión  de infracciones  penales  o  de  las  infracciones  de  la  deontología  en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo  sea  ocasionalmente,  con  el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g)  la  protección  del  interesado  o de los derechos y libertades de otras personas.

2.  Sin  perjuicio  de  las  garantías  legales apropiadas, que excluyen, en particular,  que  los  datos puedan ser utilizados en relación con medidas o decisiones  relativas  a personas concretas, los Estados miembros podrán, en los  casos en que manifiestamente no exista ningún riesgo de atentado contra la  intimidad  del  interesado,  limitar  mediante una disposición legal los derechos  contemplados  en el artículo 12 cuando los datos se vayan a tratar exclusivamente  con  fines de investigación científica o se guarden en forma de  archivos de carácter personal durante un período que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadísticas.

SECCIÓN VII. DERECHO DE OPOSICIÓN DEL INTERESADO

Artículo 14. Derecho de oposición del interesado

Los Estados miembros reconocerán al interesado el derecho a:

a)  oponerse,  al  menos en los casos contemplados en las letras e) y f) del artículo  7,  en  cualquier  momento  y  por razones legítimas propias de su situación  particular,  a  que  los  datos  que le conciernan sean objeto de tratamiento,  salvo  cuando  la  legislación nacional disponga otra cosa. En caso  de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

b)  oponerse,  previa  petición y sin gastos, al tratamiento de los datos de carácter  personal  que  le conciernan respecto de los cuales el responsable prevea  un  tratamiento destinado a la prospección; o ser informado antes de que  los  datos se comuniquen por primera vez a terceros o se usen en nombre de  éstos  a  efectos  de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicación o utilización.

Los  Estados miembros adoptarán todas las medidas necesarias para garantizar que  los  interesados conozcan la existencia del derecho a que se refiere el párrafo primero de la letra b).

Artículo 15. Decisiones individuales automatizadas

1.  Los  Estados  miembros  reconocerán a las personas el derecho a no verse sometidas  a una decisión con efectos jurídicos sobre ellas o que les afecte de   manera   significativa,  que  se  base  únicamente  en  un  tratamiento automatizado  de  datos  destinado  a  evaluar  determinados  aspectos de su personalidad,  como  su  rendimiento laboral, crédito, fiabilidad, conducta, etc.

2.  Los  Estados  miembros  permitirán, sin perjuicio de lo dispuesto en los demás  artículos  de  la  presente  Directiva,  que  una persona pueda verse sometida  a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a)  se  haya  adoptado  en  el  marco  de  la  celebración o ejecución de un contrato,  siempre  que  la petición de celebración o ejecución del contrato presentada  por  el  interesado  se  haya  satisfecho  o que existan medidas apropiadas,  como  la  posibilidad  de  defender  su punto de vista, para la salvaguardia de su interés legítimo; o

b)  esté  autorizada  por  una  ley que establezca medidas que garanticen el interés legítimo del interesado.

SECCIÓN VIII. CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO

Artículo 16. Confidencialidad del tratamiento

Las  personas  que  actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los  que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.

Artículo 17. Seguridad del tratamiento

1.  Los  Estados  miembros  establecerán  la  obligación del responsable del tratamiento  de  aplicar  las  medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o  ilícita,  la  pérdida accidental y contra la alteración, la difusión o el acceso  no  autorizados,  en  particular  cuando  el  tratamiento incluya la transmisión  de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.

Dichas  medidas  deberán  garantizar,  habida  cuenta  de  los conocimientos técnicos  existentes  y  del  coste  de su aplicación, un nivel de seguridad apropiado  en  relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2.  Los Estados miembros establecerán que el responsable del tratamiento, en caso  de  tratamiento  por  cuenta del mismo, deberá elegir un encargado del tratamiento  que  reúna garantías suficientes en relación con las medidas de seguridad   técnica   y  de  organización  de  los  tratamientos  que  deban efectuarse, y se asegure de que se cumplen dichas medidas.

3.  La  realización de tratamientos por encargo deberá estar regulada por un contrato  u  otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular:

–  que  el  encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;

–  que  las  obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.

4.  A  efectos  de  conservación de la prueba, las partes del contrato o del acto  jurídico  relativas  a  la  protección  de  datos  y  a los requisitos relativos  a  las  medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.

SECCIÓN IX. NOTIFICACIÓN

Artículo 18. Obligación de notificación a la autoridad de control

1.  Los Estados miembros dispondrán que el responsable del tratamiento o, en su  caso,  su  representante,  efectúe  una  notificación  a la autoridad de control  contemplada en el artículo 28, con anterioridad a la realización de un  tratamiento  o  de  un  conjunto  de  tratamientos, total o parcialmente automatizados,  destinados  a  la  consecución  de  un fin o de varios fines conexos.

2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:

–  cuando,  para  las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere  el  tratamiento,  los  Estados  miembros  precisen los fines de los tratamientos,  los  datos  o  categorías  de  datos tratados, la categoría o categorías   de   los   interesados,   los  destinatarios  o  categorías  de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o

–  cuando  el  responsable  del  tratamiento designe, con arreglo al Derecho nacional  al  que  está  sujeto,  un  encargado  de  protección de los datos personales que tenga por cometido, en particular:

–  hacer  aplicar  en  el  ámbito  interno,  de  manera  independiente,  las disposiciones nacionales adoptadas en virtud de la presente Directiva,

–  llevar  un registro de los tratamientos efectuados por el responsable del tratamiento,  que  contenga  la  información  enumerada en el apartado 2 del artículo 21,

garantizando  así  que  el  tratamiento  de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

3.  Los  Estados  miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro que, en  virtud  de  disposiciones  legales  o  reglamentarias,  esté destinado a facilitar  información  al  público  y  estén  abiertos a la consulta por el público  en  general  o  por  toda  persona  que  pueda demostrar un interés legítimo.

4.  Los  Estados  miembros  podrán eximir de la obligación de notificación o disponer  una  simplificación de la misma respecto de los tratamientos a que se refiere la letra d) del apartado 2 del artículo 8.

5.   Los   Estados   miembros   podrán  disponer  que  los  tratamientos  no automatizados  de  datos  de  carácter  personal  o  algunos  de  ellos sean notificados eventualmente de una forma simplificada.

Artículo 19. Contenido de la notificación

1.  Los  Estados miembros determinarán la información que debe figurar en la notificación, que será como mínimo:

a)  el  nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;

b) el o los objetivos del tratamiento;

c)  una  descripción  de  la  categoría o categorías de interesados y de los datos o categorías de datos a los que se refiere el tratamiento;

d)  los  destinatarios  o  categorías  de  destinatarios a los que se pueden comunicar los datos;

e) las transferencias de datos previstas a países terceros;

f)  una  descripción  general  que permita evaluar de modo preliminar si las medidas  adoptadas  en  aplicación  del  artículo 17 resultan adecuadas para garantizar la seguridad del tratamiento.

2.  Los  Estados  miembros  precisarán  los  procedimientos  por  los que se notificarán  a  la  autoridad de control las modificaciones que afecten a la información contemplada en el apartado 1.

Artículo 20. Controles previos

1.  Los  Estados  miembros  precisarán  los  tratamientos que puedan suponer riesgos  específicos  para  los  derechos  y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

2. Estas comprobaciones previas serán realizadas por la autoridad de control una  vez que haya recibido la notificación del responsable del tratamiento o por  el  encargado  de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.

3.  Los  Estados miembros podrán también llevar a cabo dicha comprobación en el  marco de la elaboración de una norma aprobada por el Parlamento o basada en  la  misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.

Artículo 21. Publicidad de los tratamientos

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar la publicidad de los tratamientos.

2.  Los  Estados  miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.

En el registro se harán constar, como mínimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artículo 19.

El registro podrá ser consultado por cualquier persona.

3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos no sometidos a notificación, que los responsables del tratamiento u otro órgano designado  por los Estados miembros comuniquen, en la forma adecuada, a toda persona  que  lo  solicite, al menos las informaciones a que se refieren las letras a) a e) del apartado 1 del artículo 19.

Los  Estados miembros podrán establecer que esta disposición no se aplique a los  tratamientos  cuyo  fin único sea llevar un registro, que, en virtud de disposiciones  legales  o  reglamentarias,  esté  concebido  para  facilitar información  al  público  y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo.

CAPITULO III. RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES

Artículo 22. Recursos

Sin   perjuicio  del  recurso  administrativo  que  pueda  interponerse,  en particular  ante  la  autoridad  de  control mencionada en el artículo 28, y antes  de  acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos  que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

Artículo 23. Responsabilidad

1.  Los  Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las   disposiciones  nacionales  adoptadas  en  aplicación  de  la  presente Directiva,  tenga  derecho  a  obtener  del  responsable  del tratamiento la reparación del perjuicio sufrido.

2.  El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha  responsabilidad  si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Artículo 24. Sanciones

Los  Estados  miembros  adoptarán  las  medidas adecuadas para garantizar la plena   aplicación   de   las  disposiciones  de  la  presente  Directiva  y determinarán,  en  particular,  las sanciones que deben aplicarse en caso de incumplimiento  de,  las disposiciones adoptadas en ejecución de la presente Directiva.

CAPITULO IV. TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS

Artículo 25. Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento   con   posterioridad   a  su  transferencia,  únicamente  pueda efectuarse  cuando,  sin  perjuicio del cumplimiento de las disposiciones de Derecho  nacional  adoptadas  con  arreglo  a  las demás disposiciones de la presente  Directiva,  el  país tercero de que se trate garantice un nivel de protección adecuado.

2.  El  carácter adecuado del nivel de protección que ofrece un país tercero se  evaluará  atendiendo  a  todas  las  circunstancias que concurran en una transferencia  o en una categoría de transferencias de datos; en particular, se  tomará  en  consideración  la naturaleza de los datos, la finalidad y la duración  del tratamiento o de los tratamientos previstos, el país de origen y  el país de destino final, las normas de Derecho, generales o sectoriales, vigentes  en  el  país  tercero  de  que  se  trate,  así  como  las  normas profesionales y las medidas de seguridad en vigor en dichos países.

3.  Los  Estados  miembros y la Comisión se informarán recíprocamente de los casos  en  que  consideren  que  un  tercer  país  no  garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el  apartado  2 del artículo 31, que un tercer país no garantiza un nivel de protección  adecuado  con  arreglo  al apartado 2 del presente artículo, los Estado  miembros  adoptarán  las  medidas  necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

5.  La Comisión iniciará en el momento oportuno las negociaciones destinadas a  remediar  la  situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6.  La  Comisión  podrá  hacer  constar, de conformidad con el procedimiento previsto  en el apartado 2 del artículo 31, que un país tercero garantiza un nivel  de  protección adecuado de conformidad con el apartado 2 del presente artículo,  a  la  vista  de  su  legislación  interna  o  de sus compromisos internacionales,  suscritos  especialmente  al  término de las negociaciones mencionadas  en  el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los  Estados  miembros  adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

Artículo 26. Excepciones

1.  No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán  que  pueda efectuarse una transferencia de datos personales a un país  tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando:

a)   el   interesado  haya  dado  su  consentimiento  inequívocamente  a  la transferencia prevista, o

b)  la transferencia sea necesaria para la ejecución de un contrato entre el interesado  y  el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

c)  la  transferencia  sea  necesaria  para la celebración o ejecución de un contrato  celebrado  o  por  celebrar  en  interés  del interesado, entre el responsable del tratamiento y un tercero, o

d)  La transferencia sea necesaria o legalmente exigida para la salvaguardia de  un  interés  público  importante,  o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

f)  la transferencia tenga lugar desde un registro público que, en virtud de disposiciones  legales  o  reglamentarias,  esté  concebido  para  facilitar información  al  público  y  esté  abierto  a  la consulta por el público en general  o  por  cualquier  persona que pueda demostrar un interés legítimo, siempre  que  se  cumplan,  en  cada  caso  particular,  las condiciones que establece la ley para la consulta.

2.  Sin  perjuicio  de  lo  dispuesto en el apartado 1, los Estados miembros podrán  autorizar  una  transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con  arreglo  al  apartado  2  del  artículo  25,  cuando el responsable del tratamiento  ofrezca  garantías  suficientes respecto de la protección de la vida  privada,  de  los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

3.  Los  Estados  miembros  informarán  a  la Comisión y a los demás Estados miembros  acerca  de las autorizaciones que concedan con arreglo al apartado 2.

En  el  supuesto  de  que  otro  Estado  miembro o la Comisión expresaron su oposición  y  la  justificaren  debidamente  por  motivos  derivados  de  la protección  de  la vida privada y de los derechos y libertades fundamentales de  las  personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artículo 31.

Los  Estados  miembros  adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

4.  Cuando  la  Comisión  decida,  según  el procedimiento establecido en el apartado  2  del  artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

CAPITULO V. CÓDIGOS DE CONDUCTA

Artículo 27 

1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector,  a  la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

2.  Los  Estados miembros establecerán que las asociaciones profesionales, y las  demás organizaciones representantes de otras categorías de responsables de  tratamientos,  que hayan elaborado proyectos de códigos nacionales o que tengan  la  intención de modificar o prorrogar códigos nacionales existentes puedan someterlos a examen de las autoridades nacionales.

Los  Estados  miembros  establecerán  que  dicha autoridad vele, entre otras cosas,  por  la  conformidad  de los proyectos que le sean sometidos con las disposiciones  nacionales  adoptadas en aplicación de la presente Directiva. Si  lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes.

3.  Los  proyectos  de  códigos  comunitarios, así como las modificaciones o prórrogas  de códigos comunitarios existentes, podrán ser sometidos a examen del  grupo  contemplado  en el artículo 29. Este se pronunciará, entre otras cosas,  sobre  la conformidad de los proyectos que le sean sometidos con las disposiciones  nacionales  adoptadas en aplicación de la presente Directiva. Si  lo  considera  conveniente,  el  Grupo recogerá las observaciones de los interesados  o  de  sus  representantes.  La  Comisión  podrá  efectuar  una publicidad  adecuada de los códigos que hayan recibido un dictamen favorable del grupo.

CAPITULO VI. AUTORIDAD  DE  CONTROL  Y  GRUPO  DE  PROTECCIÓN  DE  LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Artículo 28. Autoridad de control

1.  Los  Estados  miembros  dispondrán que una o más autoridades públicas se encarguen  de  vigilar  la  aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas  autoridades  ejercerán las funciones que les son atribuidas con total independencia.

2.  Los  Estados  miembros  dispondrán  que se consulte a las autoridades de control  en  el  momento  de  la elaboración de las medidas reglamentarias o administrativas  relativas  a  la protección de los derechos y libertades de las  personas  en  lo  que  se  refiere  al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

–  poderes de investigación, como el derecho de acceder a los datos que sean objeto  de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

–  poderes  efectivos  de  intervención,  como,  por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo,  la  supresión  o  la  destrucción  de  datos,  o  incluso prohibir provisional   o   definitivamente  un  tratamiento,  o  el  de  dirigir  una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

–  capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas  en  aplicación  de  la  presente  Directiva  o  de  poner  dichas infracciones en conocimiento de la autoridad judicial.

Las  decisiones  de  la  autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4.  Toda  autoridad  de  control  entenderá de las solicitudes que cualquier persona,  o  cualquier asociación que la represente, le presente en relación con  la  protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda  autoridad  de  control entenderá, en particular, de las solicitudes de verificación  de  la  licitud  de  un  tratamiento que le presente cualquier persona  cuando  sean  de aplicación las disposiciones nacionales tomadas en virtud  del  artículo  13  de  la  presente  Directiva.  Dicha  persona será informada en todos los casos de que ha tenido lugar una verificación.

5.  Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.

6.  Toda  autoridad  de  control  será  competente,  sean  cuales  sean  las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá  ser  instada  a  ejercer sus poderes por una autoridad de otro Estado miembro.

Las  autoridades  de control cooperarán entre sí en la medida necesaria para el  cumplimiento  de sus funciones, en particular mediante el intercambio de información que estimen útil.

7.  Los  Estados  miembros  dispondrán  que  los  miembros  y agentes de las autoridades  de  control estarán sujetos, incluso después de haber cesado en sus   funciones,   al  deber  de  secreto  profesional  sobre  informaciones confidenciales a las que hayan tenido acceso.

Artículo 29. Grupo  de  protección  de  las personas en lo que respecta al tratamiento de datos personales.

1.  Se  crea  un  grupo  de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado “Grupo”.

Dicho Grupo tendrá carácter consultivo e independiente.

2.  El  Grupo estará compuesto por un representante de la autoridad o de las autoridades   de   control  designadas  por  cada  Estado  miembro,  por  un representante  de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión.

Cada  miembro  del  Grupo  será  designado  por  la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades  de  control, éstas nombrarán a un representante común. Lo mismo harán   las   autoridades   creadas   por  las  instituciones  y  organismos comunitarios.

3.  El  Grupo tomará sus decisiones por mayoría simple de los representantes de las autoridades de control.

4.  El  Grupo  elegirá a su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable.

5. La Comisión desempeñará las funciones de secretaría del Grupo.

6. El Grupo aprobará su reglamento interno.

7.  El  Grupo  examinará  los  asuntos  incluidos en el orden del día por su presidente,  bien  por  iniciativa  de  éste,  bien  previa  solicitud de un representante  de  las  autoridades  de  control,  bien  a  solicitud  de la Comisión.

Artículo 30 

1. El Grupo tendrá por cometido:

a)  estudiar  toda  cuestión  relativa  a la aplicación de las disposiciones nacionales  tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;

b)  emitir  un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los países terceros;

c)  asesorar  a  la  Comisión sobre cualquier proyecto de modificación de la presente  Directiva, cualquier proyecto de medidas adicionales o específicas que  deban  adoptarse  para  salvaguardar  los  derechos y libertades de las personas  físicas en lo que respecta al tratamiento de datos personales, así como  sobre  cualquier  otro  proyecto  de medidas comunitarias que afecte a dichos derechos y libertades;

d)  emitir  un  dictamen  sobre  los códigos de conducta elaborados a escala comunitaria.

2. Si el Grupo comprobare la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieron afectar a la equivalencia de  la  protección  de  las  personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.

3.  El  Grupo  podrá,  por iniciativa propia, formular recomendaciones sobre cualquier  asunto  relacionado  con  la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.

4.  Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artículo 31.

5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones.  A  tal  efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.

6.  El  Grupo elaborará un informe anual sobre la situación de la protección de  las  personas  físicas  en  lo  que  respecta  al  tratamiento  de datos personales  en  la  Comunidad  y en los países terceros, y lo transmitirá al Parlamento  Europeo,  al  Consejo  y  a  la  Comisión.  Dicho  informe  será publicado.

CAPITULO VII. MEDIDAS DE EJECUCIÓN COMUNITARIAS

Artículo 31. El Comité

1. La Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.

2.  El  representante de la Comisión presentará al Comité un proyecto de las medidas  que  se hayan de adoptar. El Comité emitirá su dictamen sobre dicho proyecto  en  un  plazo  que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate.

El  dictamen  se  emitirá  según  la  mayoría  prevista en el apartado 2 del artículo  148  del  Tratado.  Los votos de los representantes de los Estados miembros  en  el  seno  del  Comité se ponderarán del modo establecido en el artículo anteriormente citado. El presidente no tomará parte en la votación.

La  Comisión  adoptará  las  medidas  que serán de aplicación inmediata. Sin embargo,  si  dichas  medidas  no  fueren  conformes al dictamen del Comité, habrán  de  ser  comunicadas  sin demora por la Comisión al Consejo. En este caso:

–  la  Comisión aplazará la aplicación de las medidas que ha decidido por un período de tres meses a partir de la fecha de dicha comunicación;

–  el  Consejo, actuando por mayoría cualificada, podrá adoptar una decisión diferente dentro del plazo de tiempo mencionado en el primer guión.

DISPOSICIONES FINALES

Artículo 32  

1.  Los Estados miembros adoptarán las disposiciones legales, reglamentarias y  administrativas  necesarias  para dar cumplimiento a lo establecido en la presente  Directiva,  a  más  tardar  al  final de un período de tres años a partir de su adopción.

Cuando  los  Estados  miembros  adopten  dichas  disposiciones,  éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2.  Los  Estados miembros velarán por que todo tratamiento ya iniciado en la fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en  virtud  de la presente Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha fecha.

No  obstante lo dispuesto en el párrafo primero, los Estados miembros podrán establecer  que  el  tratamiento  de datos que ya se encuentren incluidos en ficheros  manuales  en  la  fecha  de  entrada en vigor de las disposiciones nacionales  adoptadas en aplicación de la presente Directiva, deba ajustarse a  lo  dispuesto en los artículos 6, 7 y 8 en un plazo de doce años a partir de  la  adopción de la misma. No obstante, los Estados miembros otorgarán al interesado, previa solicitud y, en particular, en el ejercicio de su derecho de  acceso,  el  derecho a que se rectifiquen, supriman o bloqueen los datos incompletos,  inexactos  o  que hayan sido conservados de forma incompatible con los fines legítimos perseguidos por el responsable del tratamiento.

3.  No  obstante  lo dispuesto en el apartado 2, los Estados miembros podrán disponer,  con sujeción a las garantías adecuadas, que los datos conservados únicamente  a  efectos  de  investigación  histórica no deban ajustarse a lo dispuesto en los artículos 6, 7 y 8 de la presente Directiva.

4.  Los  Estados  miembros  comunicarán  a  la  Comisión  el  texto  de  las disposiciones  de  Derecho  interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 33 

La  Comisión  presentará al Consejo y al Parlamento Europeo periódicamente y por  primera vez en un plazo de tres años a partir de la fecha mencionada en el  apartado 1 del artículo 32 un informe sobre la aplicación de la presente Directiva,   acompañado,   en  su  caso,  de  las  oportunas  propuestas  de modificación. Dicho informe será publicado.

La Comisión estudiará, en particular, la aplicación de la presente Directiva al  tratamiento  de  datos  que  consistan en sonidos e imágenes relativos a personas físicas y presentará las propuestas pertinentes que puedan resultar necesarias en función de los avances de la tecnología de la información, y a la luz de los trabajos de la sociedad de la información.

Artículo 34 

Los destinatarios de la presente Directiva serán los Estados miembros.

Hecho en Luxemburgo, el 24 de octubre de 1995.

Por el Parlamento Europeo                                   Por el Consejo

El Presidente                                                    El Presidente

K. HANSCH                                                 L. ATIENZA SERNA