Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
Se modifica, sustituye, inserta apartados, artículos; y se establece la vigencia y obligatoriedad de los Estados Miembros de la Unión Europea relativo al Reglamento(UE) 2016/794 a la Agencia de la Unión Europea para la Cooperación Policial (Europol).
Artículo 1. Se modifica, sustituye, insertan apartados, artículos:
1) Se modifica el artículo 2
2) Se modifica el artículo 4
3) Se modifica el artículo 6
4) Se modifica el artículo 7
5) Se modifica el artículo 11
6) Se modifica el artículo 12
7) Se modifica el artículo 14
8) Se modifica el artículo 16
9) Se modifica el artículo 18
10) Se inserta el «Artículo
18 bis
11) Se sustituye en el artículo 19, los
apartados 1 y 2 se sustituyen
12) El artículo 20
13) Se inserta el «Artículo
20 bis
14) En el artículo 21, se añade apartado
15) Se sustituye en el artículo 19, los apartados 1 y 2
12) Se sustituye en el artículo 19, los apartados 1 y 2 se sustituyen
12) Se sustituye en el artículo 23, el
apartado 7
16) Se sustituye el título de la sección 2
17) Se sustituye el artículo 24
18) Se modifica el artículo 25
19) Se modifica el artículo 26
20) Se insertan los artículos
siguientes:
«Artículo 26 bis
Intercambio de
datos personales con entidades privadas en situaciones de crisis en línea
Artículo 26 ter
Intercambio de
datos personales con entidades privadas para combatir la difusión en línea de
material en línea de abusos sexuales a menores
21) En el artículo 27, se
sustituyen los apartados 1 y 2
22) El título del capítulo VI se
sustituye por «PROTECCIÓN DE DATOS».
23) Se inserta el «Artículo
27 bis
Tratamiento de
datos personales por Europol
24) Se suprime el artículo 28
25) Se modifica el artículo 30
26) Se sustituye el texto del «Artículo
32
27) Se suprime el artículo 33.
28) Se inserta el texto del artículo
«Artículo 33 bis
Tratamiento de
datos personales para investigación e innovación
29) Se modifica el artículo 34
30) Se modifica el artículo 35
31) Se modifica el artículo 36
32) Se modifica el artículo 37
33) Se modifica el artículo 38
34) El artículo 39 se sustituye
por el texto siguiente:«Artículo 39
Consulta previa
35) Se inserta el artículo
siguiente Artículo 39 bis
Registro de
categorías de actividades de tratamiento
36) Se sustituye el texto del «Artículo 40
Registros de
operaciones
37) Se sustituye el texto del «Artículo 41
Designación del
responsable de protección de datos
38) Se insertan los artículos
siguientes:
«Artículo 41 bis
Cargo de
responsable de protección de datos
Artículo 41 ter
Funciones del
responsable de protección de datos
Artículo 41 quater
Agente de
derechos fundamentales
Artículo 41
quinquies
Formación sobre
derechos fundamentales
39) En el artículo 42, se
sustituyen los apartados 1 y 2
40) En el artículo 43 se
sustituye los apartados 1, 3, 5
41) El artículo 44 se modifican
los apartados 2, 4
42) Se
suprimen los artículos 45 y 46.
43) Se modifica el artículo 47
44) Se sustituye el texto del «Artículo
50
Derecho a
indemnización
45) Se modifica el artículo 51
46) Se inserta el «Artículo
52 bis
Foro consultivo
47) En el artículo 58, se
sustituye el apartado 9
48) Se modifica el artículo 60
49) Se sustituye el «Artículo
61
Normas
financieras
50) Se modifica el artículo 68
51) Se insertan los artículos
siguientes:
«Artículo 74 bis
Disposiciones
transitorias relativas al tratamiento de datos personales en apoyo de una
investigación penal específica en curso
Artículo 74 ter
Disposiciones
transitorias relativas al tratamiento de datos personales en poder de Europol
Artículo 2
El presente Reglamento entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será
obligatorio en todos sus elementos y directamente aplicable en los Estados
miembros de conformidad con los Tratados.
Para mayor información o análisis sobre la modificacion del presente Reglamento, sus referencias legislativas, perspectivas de investigación así como sus implicancias y efectos en América Latina, consúltenos al correo electrónico cferreyros@hotmail.com
_____________________________________________________________
REGLAMENTO (UE)
2022/991 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 8 de junio
de 2022
por el que se
modifica el Reglamento (UE) 2016/794 en lo que se refiere a la cooperación de
Europol con entidades privadas, el tratamiento de datos personales por Europol
en apoyo de investigaciones penales y el papel de Europol en materia de
investigación e innovación
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su
artículo 88,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos
nacionales,
De conformidad con el procedimiento legislativo ordinario (1),
Considerando lo siguiente:
(1) La Agencia de la Unión Europea para la Cooperación Policial
(Europol) se creó en virtud del Reglamento (UE) 2016/794 del Parlamento Europeo
y del Consejo (2) para apoyar y
reforzar la actuación de las autoridades competentes de los Estados miembros,
así como su cooperación mutua en la prevención y la lucha contra la
delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las
formas de delincuencia que lesionen un interés común protegido por una política
de la Unión.
(2) En materia de seguridad, Europa se enfrenta a un panorama
cambiante, con amenazas para la seguridad que evolucionan y se vuelven cada vez
más complejas. Los terroristas y otros delincuentes aprovechan la
transformación digital y las nuevas tecnologías, en particular, tanto la
interconectividad como la confusión de los límites entre el mundo físico y el
digital, por ejemplo, ocultando sus delitos y su identidad mediante el recurso
a tecnologías cada vez más sofisticadas. Los terroristas y otros delincuentes han
demostrado su capacidad para adaptar su modus operandi y desarrollar
nuevas actividades delictivas en tiempos de crisis, incluido el aprovechamiento
de herramientas habilitadas por la tecnología para multiplicar y expandir la
gama y la escala de sus actividades delictivas. El terrorismo sigue
constituyendo una amenaza importante para la libertad y el modo de vida de los
ciudadanos de la Unión.
(3) Amenazas cambiantes y complejas se propagan a través de las
fronteras, abarcan y facilitan toda una serie de delitos y se manifiestan en
grupos de delincuencia organizada multidelictivos que participan en una amplia
gama de actividades delictivas. Dado que la actuación a nivel nacional y la
cooperación transfronteriza no bastan para hacer frente a dichas amenazas
transnacionales en materia de seguridad, las autoridades competentes de los
Estados miembros han ido recurriendo cada vez más al apoyo y los conocimientos
especializados que ofrece Europol para prevenir y combatir la delincuencia
grave y el terrorismo. Desde que el Reglamento (UE) 2016/794 comenzó a ser
aplicable, la importancia operativa de las funciones de Europol ha aumentado
sustancialmente. Además, el nuevo entorno de amenazas altera el alcance y el
tipo del apoyo que los Estados miembros necesitan y esperan de Europol para
garantizar la seguridad de los ciudadanos.
(4) En consecuencia, se deben atribuir funciones adicionales a
Europol en virtud del presente Reglamento para permitirle apoyar mejor a las
autoridades competentes de los Estados miembros, al mismo tiempo que se
mantienen las responsabilidades de los Estados miembros en el ámbito de la
seguridad nacional establecidas en el artículo 4, apartado 2, del Tratado de la
Unión Europea (TUE). El mandato reforzado de Europol debe equilibrarse con las
garantías por lo que respecta a los derechos fundamentales y una mayor
rendición de cuentas, asunción de responsabilidades y supervisión, incluido el
control parlamentario y la supervisión ejercida por el Consejo de
Administración de Europol (en lo sucesivo, «Consejo de Administración»). Para
que Europol pueda cumplir su mandato reforzado, se le deben asignar recursos
humanos y financieros adecuados para apoyar sus funciones adicionales.
(5) Dado que la Unión se enfrenta a amenazas crecientes por parte
de grupos de delincuencia organizada y por atentados terroristas, una respuesta
policial eficaz debe incluir la disponibilidad de unidades especiales de
intervención interoperables y bien entrenadas, especializadas en el control de
las situaciones de crisis provocadas por el hombre. En la Unión, las unidades
especiales de intervención de los Estados miembros cooperan sobre la base de la
Decisión 2008/617/JAI del Consejo (3). Europol debe poder apoyar a
dichas unidades especiales de intervención, mediante la prestación de apoyo
técnico y financiero, que complemente los esfuerzos realizados por los Estados
miembros.
(6) En los últimos años, los ciberataques a gran escala, incluidos
los ataques con origen en terceros países, se han dirigido contra entidades
públicas y privadas en muchos territorios tanto dentro de la Unión como fuera
de ella, afectando a diversos sectores, como el transporte, la salud y los
servicios financieros. La prevención, detección, investigación y enjuiciamiento
de tales ciberataques se ven apoyados por la coordinación y la cooperación
entre los agentes pertinentes, incluidas la Agencia de la Unión Europea para la
Ciberseguridad (ENISA), creada por el Reglamento (UE) 2019/881 del Parlamento
Europeo y del Consejo (4), las autoridades competentes en
materia de seguridad de las redes y los sistemas de información en el sentido
de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (5), las autoridades competentes de
los Estados miembros y las entidades privadas. A fin de garantizar la
cooperación efectiva entre todos los agentes pertinentes a nivel de la Unión y
nacional en materia de ciberataques y ciberamenazas, Europol debe cooperar con
ENISA, en particular, mediante el intercambio de información y la prestación de
apoyo analítico en ámbitos incluidos dentro de sus respectivas competencias.
(7) Los delincuentes de alto riesgo desempeñan un papel destacado
en las redes delictivas y sus actividades delictivas suponen un alto riesgo
para la seguridad interior de la Unión. A fin de combatir los grupos de
delincuencia organizada de alto riesgo y sus miembros dirigentes, Europol debe
poder ayudar a los Estados miembros a centrar su respuesta investigadora en la
identificación de los miembros y de los miembros dirigentes de tales redes, sus
actividades delictivas y sus activos financieros.
(8) Las amenazas que plantean los delitos graves necesitan una
respuesta coordinada, coherente, multidisciplinar y multiinstitucional. Europol
debe poder facilitar y apoyar iniciativas de seguridad impulsadas por los
Estados miembros y basadas en la información de inteligencia que tengan como
objetivo detectar, dar prioridad y hacer frente a las amenazas de delincuencia
grave, como, por ejemplo, la plataforma multidisciplinar europea contra las
amenazas delictivas (EMPACT, por sus siglas en inglés). Europol debe poder
prestar apoyo administrativo, logístico, financiero y operativo a dichas
iniciativas.
(9) El Sistema de Información de Schengen (SIS), creado en el
ámbito de la cooperación policial y judicial en materia penal por el Reglamento
(UE) 2018/1862 del Parlamento Europeo y del Consejo (6), es un instrumento esencial para
mantener un alto nivel de seguridad en el espacio de libertad, seguridad y
justicia. Europol, como centro de intercambio de información en la Unión, recibe
y posee información valiosa procedente de terceros países y organizaciones
internacionales sobre personas sospechosas de estar implicadas en delitos que
se incluyen en los objetivos de Europol. En el marco de sus objetivos y su
función de apoyo a los Estados miembros en materia de prevención y lucha contra
la delincuencia grave y el terrorismo, Europol debe apoyar a los Estados
miembros en el tratamiento de los datos que le hayan facilitado terceros países
u organismos internacionales, proponiendo que los Estados miembros puedan
introducir en el SIS descripciones de información en una nueva categoría de
descripciones de información en interés de la Unión (en lo sucesivo,
«descripciones de información»), con objeto de poner dichas descripciones de
información a disposición de los usuarios finales del SIS. A tal fin, se debe
instaurar un mecanismo de información periódica para asegurar que los Estados
miembros y Europol estén informados del resultado de la comprobación y análisis
de esos datos y de si la información se ha introducido en el SIS. Las
modalidades de cooperación entre los Estados miembros para el tratamiento de
tales datos y la introducción de las descripciones en el SIS, en particular, en
lo que se refiere a la lucha contra el terrorismo, deben ser objeto de una
coordinación continua entre los Estados miembros. El Consejo de Administración
debe especificar los criterios que sirvan de base a Europol para poder formular
propuestas para la introducción de dichas descripciones de información en el
SIS.
(10) Europol tiene un importante papel que desempeñar en apoyo del
mecanismo de evaluación y seguimiento para verificar la aplicación del acervo
de Schengen establecido por el Reglamento (UE) n.o 1053/2013 del Consejo (7). Por consiguiente, Europol debe
contribuir, previa solicitud de los Estados miembros, al mecanismo de
evaluación y seguimiento de Schengen con sus conocimientos especializados,
análisis, informes y demás información pertinente para verificar la aplicación
del acervo de Schengen.
(11) Las evaluaciones de riesgos ayudan a anticipar nuevas tendencias
y a hacer frente a las nuevas amenazas que planteen la delincuencia grave y el
terrorismo. Para apoyar a la Comisión y a los Estados miembros en la
realización de evaluaciones de riesgos eficaces, Europol debe proporcionar a la
Comisión y a los Estados miembros análisis de evaluación de amenazas basados en
la información de que disponga sobre fenómenos y tendencias delictivas, sin
perjuicio del Derecho de la Unión sobre gestión de riesgos aduaneros.
(12) Con el fin de que la financiación de la Unión para la
investigación en materia de seguridad logre su objetivo de garantizar que la
investigación desarrolle todo su potencial y responda a las necesidades de las
autoridades policiales, Europol debe ayudar a la Comisión a definir temas clave
de investigación y a elaborar y ejecutar los programas marco de investigación e
innovación de la Unión que sean pertinentes para lograr los objetivos de
Europol. Cuando sea pertinente, Europol debe poder difundir los resultados de
sus actividades de investigación e innovación como parte de su contribución a
la creación de sinergias entre las actividades de investigación e innovación de
los organismos pertinentes de la Unión. A la hora de diseñar y conceptualizar
las actividades de investigación e innovación pertinentes para sus objetivos,
Europol debe, en su caso, poder consultar al Centro Común de Investigación
(JRC) de la Comisión. Europol debe adoptar todas las medidas necesarias para
evitar conflictos de intereses. Cuando Europol asista a la Comisión en la
identificación de temas clave de investigación y en la elaboración y ejecución
de un programa marco de la Unión, no debe recibir financiación de dicho
programa. Es importante que Europol pueda contar con una financiación adecuada
y fiable para poder ayudar a los Estados miembros y a la Comisión en el ámbito
de la investigación e innovación.
(13) La Unión y los Estados miembros pueden adoptar medidas
restrictivas relativas a la inversión extranjera directa por motivos de
seguridad u orden público. A tal fin, el Reglamento (UE) 2019/452 del
Parlamento Europeo y del Consejo (8) establece un marco
para el control de las inversiones extranjeras directas en la Unión. Las
inversiones extranjeras directas en tecnologías emergentes merecen especial
atención, ya que pueden tener repercusiones significativas para la seguridad y
el orden público, en particular, cuando dichas tecnologías son utilizadas por
las autoridades competentes de los Estados miembros. Dada la participación de
Europol en el seguimiento de las tecnologías emergentes y su participación
activa en el desarrollo de nuevas formas de utilización de dichas tecnologías
con fines policiales, en particular, a través de su laboratorio de innovación y
a través del Centro de Innovación de la UE para la Seguridad Interior, Europol
tiene amplios conocimientos sobre las oportunidades que ofrecen dichas
tecnologías, así como sobre los riesgos asociados a su uso. Europol debe, por
lo tanto, poder apoyar a los Estados miembros en el examen de inversiones
extranjeras directas en la Unión y de los riesgos relacionados para la
seguridad y el orden público que afecten a empresas que suministran
tecnologías, incluido software, utilizadas por Europol para la prevención e
investigación de delitos que se incluyen en los objetivos de Europol, o
tecnologías críticas que puedan ser utilizadas para facilitar el terrorismo. En
este contexto, la experiencia de Europol debe apoyar el examen de las
inversiones extranjeras directas y los riesgos relacionados para la seguridad.
Debe tenerse especialmente en cuenta si el inversor extranjero ya ha
participado en actividades que afectan a la seguridad, si existe un riesgo
grave de que el inversor extranjero participe en actividades ilegales o delictivas
y si el inversor extranjero está controlado directa o indirectamente por el
gobierno de un tercer país, incluso mediante subvenciones.
(14) Europol proporciona conocimientos especializados en la lucha
contra la delincuencia grave y el terrorismo. A petición de un Estado miembro,
el personal de Europol debe poder prestar apoyo operativo a las autoridades
competentes de dicho Estado miembro en operaciones e investigaciones, en
particular facilitando el intercambio transfronterizo de información y
prestando apoyo criminalístico y técnico en las operaciones e investigaciones,
incluso en el contexto de equipos conjuntos de investigación. A petición de un
Estado miembro, el personal de Europol debe tener derecho a estar presente
durante la ejecución de las medidas de investigación en dicho Estado miembro.
El personal de Europol no debe estar facultado para ejecutar medidas de
investigación.
(15) Uno de los objetivos de Europol es apoyar y reforzar la
actuación de las autoridades competentes de los Estados miembros y su
cooperación mutua en la prevención y la lucha contra las formas de delincuencia
grave que lesionen un interés común protegido por una política de la Unión.
Para reforzar ese apoyo, el director ejecutivo de Europol (en lo sucesivo,
«director ejecutivo») debe poder proponer a las autoridades competentes de un
Estado miembro que inicien, lleven a cabo o coordinen la investigación de un
delito que afecte solo a dicho Estado miembro, pero que lesione un interés
común protegido por una política de la Unión. Europol debe informar a Eurojust
y, cuando proceda, a la Fiscalía Europea creada por el Reglamento (UE)
2017/1939 (9), de toda solicitud de ese tipo.
(16) La publicación de la identidad y de determinados datos
personales de los sospechosos o condenados que estén en búsqueda sobre la base
de una resolución judicial nacional aumenta la probabilidad de que los Estados
miembros localicen y detengan a dichas personas. Para apoyar a los Estados
miembros a localizar y detener a dichas personas, Europol debe poder publicar
en su sitio web información sobre los fugitivos más buscados en Europa en
relación con los actos delictivos que se incluyen en los objetivos de Europol.
Con la misma finalidad, Europol debe facilitar que el público proporcione
información sobre tales personas a los Estados miembros y a Europol.
(17) Una vez que Europol determine que los datos personales que
recibe se incluyen en sus objetivos, debe poder tratar dichos datos personales
en los cuatro supuestos siguientes. En el primer supuesto, los datos personales
recibidos atañen a alguna de las categorías de interesados enumeradas en el
anexo II del Reglamento (UE) 2016/794 (en lo sucesivo, «anexo II»). En el
segundo supuesto, los datos personales recibidos consisten en datos de
investigación que contienen datos que no atañen a ninguna de las categorías de
interesados enumeradas en el anexo II, pero que han sido facilitados, a raíz de
una solicitud de apoyo a Europol en una investigación penal específica, por un
Estado miembro, la Fiscalía Europea, Eurojust o un tercer país, siempre que
dicho Estado miembro, la Fiscalía Europea, Eurojust o ese tercer país esté
autorizado a tratar tales datos de investigación de conformidad con los
requisitos y garantías procesales aplicables en virtud del Derecho de la Unión
y del Derecho nacional. En este supuesto, Europol debe poder tratar dichos
datos de investigación durante todo el tiempo en que esté apoyando esa
investigación penal específica. En el tercer supuesto, los datos personales
recibidos pueden no atañer a ninguna de las categorías de interesados enumeradas
en el anexo II y no han sido facilitados a raíz de una solicitud de apoyo de
Europol a una investigación penal específica. En este supuesto, Europol debe
poder comprobar si dichos datos personales atañen a alguna de esas categorías
de interesados. En el cuarto supuesto, los datos personales recibidos se han
facilitado para fines de proyectos de investigación e innovación, y no atañen a
las categorías de interesados enumeradas en el anexo II.
(18) De conformidad con el artículo 73 del Reglamento (UE) 2018/1725
del Parlamento Europeo y del Consejo (10), cuando corresponda y en la
medida de lo posible, Europol debe hacer una distinción clara entre los datos
personales que atañen a las diferentes categorías de interesados enumeradas en
el anexo II.
(19) Cuando los Estados miembros utilicen la infraestructura de
Europol para el intercambio de datos personales sobre delitos que no se
incluyen en los objetivos de Europol, Europol no debe tener acceso a dichos
datos y se le debe considerar un encargado del tratamiento en el sentido del
artículo 87 del Reglamento (UE) 2018/1725. En tales casos, Europol debe poder
tratar datos que no atañan a las categorías de interesados enumeradas en el
anexo II. Cuando los Estados miembros empleen la infraestructura de Europol
para el intercambio de datos personales sobre delitos que se incluyen en los
objetivos de Europol y cuando otorguen a Europol acceso a dichos datos, los
requisitos vinculados con las categorías de interesados enumeradas en el anexo
II deben aplicarse a cualquier otro tratamiento de dichos datos por parte de
Europol.
(20) Europol debe poder comprobar si los datos personales recibidos
en el contexto de la prevención y la lucha contra los delitos que se incluyen
en sus objetivos atañen a alguna de las categorías de interesados enumeradas en
el anexo II, respetando al mismo tiempo el principio de minimización de datos.
A tal fin, Europol debe poder llevar a cabo un análisis preliminar de los datos
personales recibidos con el único fin de determinar si dichos datos atañen a
alguna de tales categorías de interesados cotejando dichos datos personales con
los que ya obran en su poder, sin proceder al análisis ulterior de tales datos.
Dicho análisis preliminar debe tener lugar antes, y al margen, del tratamiento
de datos por parte de Europol a efectos de controles cruzados, análisis estratégicos,
análisis operativos o de intercambio de información y después de que Europol
haya determinado que los datos en cuestión son pertinentes y necesarios para el
desempeño de sus funciones. Una vez que Europol haya determinado que dichos
datos personales atañen a las categorías de interesados enumeradas en el anexo
II, Europol debe poder tratar dichos datos personales a efectos de controles
cruzados, análisis estratégicos, análisis operativos o de intercambio de
información. Europol debe eliminar los datos personales si llega a la
conclusión de que dichos datos no atañen a las categorías de interesados
enumeradas en el anexo II.
(21) La clasificación de datos personales en un conjunto de datos
determinado puede variar con el tiempo como consecuencia de nueva información
que vaya estando disponible en el contexto de investigaciones penales, por
ejemplo, en relación con sospechosos adicionales. Por esa razón, Europol debe
tener autorización para tratar datos personales cuando resulte estrictamente
necesario y proporcionado a efectos de determinar las categorías de interesados
a los que atañen los datos de los que se trate durante un período máximo de
dieciocho meses a partir del momento en que Europol determine que dichos datos
no se incluyen en sus objetivos. Europol debe poder ampliar dicho período hasta
tres años en casos debidamente justificados y siempre que dicha prórroga sea
necesaria y proporcionada. Tal prórroga debe ser comunicada al Supervisor
Europeo de Protección de Datos (SEPD). Cuando el tratamiento de datos
personales con el fin de determinar las categorías de interesados ya no sea
necesario ni esté justificado, y, en cualquier caso, una vez finalizado el
período máximo de tratamiento, Europol debe suprimir los datos personales.
(22) La cantidad de datos recogidos en el marco de investigaciones
penales ha ido aumentando de volumen y los conjuntos de datos se han vuelto más
complejos. Los Estados miembros transmiten conjuntos de datos voluminosos y
complejos a Europol, solicitando su análisis operativo para identificar
vínculos con otros delitos que no sean el que es objeto de la investigación en
cuyo contexto se recopilaron y con delincuentes en otros Estados miembros y
fuera de la Unión. Dado que Europol puede detectar dichos vínculos
transfronterizos con mayor eficacia que los Estados miembros a través de su
propio análisis de los datos, Europol debe poder apoyar las investigaciones
penales de los Estados miembros mediante el tratamiento de conjuntos de datos
voluminosos y complejos para detectar dichos vínculos transfronterizos, siempre
que se cumplan los estrictos requisitos y garantías establecidos en el presente
Reglamento. Cuando sea necesario para apoyar eficazmente una investigación
penal específica en curso en un Estado miembro, Europol debe poder tratar datos
de investigación que las autoridades competentes de los Estados miembros estén
autorizadas a tratar en dicha investigación penal específica de conformidad con
los requisitos y garantías procesales aplicables en virtud del Derecho nacional
y posteriormente facilitados a Europol. Entre esos datos deben incluirse los
datos personales en el caso de que un Estado miembro no haya podido determinar
si dichos datos atañen a las categorías de interesados enumeradas en el anexo
II. Cuando un Estado miembro, la Fiscalía Europea o Eurojust facilite a Europol
datos de investigación y solicite el apoyo de Europol para una investigación
penal específica en curso, Europol debe poder tratar dichos datos durante todo
el tiempo en que apoye esa investigación penal específica, de conformidad con
los requisitos y garantías procesales aplicables en virtud del Derecho de la
Unión o nacional.
(23) Para garantizar que el tratamiento de datos realizado en el
contexto de una investigación penal sea necesario y proporcionado, los Estados
miembros deben garantizar el cumplimiento del Derecho de la Unión y del Derecho
nacional cuando faciliten datos de investigación a Europol. Al facilitar datos
de investigación a Europol para solicitar su apoyo en una investigación penal
específica, los Estados miembros deben tener en cuenta la magnitud y
complejidad que implique el tratamiento de los datos, y el tipo y la
importancia de la investigación. Los Estados miembros deben informar a Europol
cuando, de conformidad con los requisitos y garantías procesales aplicables en
virtud de su Derecho nacional, dejen de estar autorizados para tratar datos en
la investigación penal específica en curso. Europol solo debe tratar datos
personales que no atañan a las categorías de interesados enumeradas en el anexo
II cuando valore que no es posible apoyar una investigación penal específica en
curso sin el tratamiento de dichos datos personales. Europol debe documentar
esta valoración. Europol debe conservar dichos datos de tal modo que exista una
separación funcional de otros datos y solo debe tratarlos cuando sea necesario
para su apoyo a la investigación penal específica en curso, como en el caso de
una nueva pista.
(24) Europol también debe poder tratar los datos personales que sean
necesarios para apoyar una investigación penal específica en uno o varios
Estados miembros si dichos datos son facilitados por un tercer país, siempre
que: el tercer país sea objeto de una decisión de adecuación de conformidad con
la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (11) (en lo sucesivo,
«decisión de adecuación»); un acuerdo internacional con dicho tercer país se
haya celebrado por la Unión de conformidad con el artículo 218 del Tratado de
Funcionamiento de la Unión Europea (TFUE) que incluya la transferencia de datos
personales con fines policiales (en lo sucesivo, «acuerdo internacional»); un
acuerdo de cooperación que permita el intercambio de datos personales se haya
celebrado entre Europol y el tercer país con anterioridad a la entrada en vigor
del Reglamento (UE) 2016/794 (en lo sucesivo, «acuerdo de cooperación»); o se
hayan establecido, en un instrumento jurídicamente vinculante, garantías
adecuadas en relación con la protección de datos personales o Europol llegue a
la conclusión, sobre la base de una valoración de todas las circunstancias que
rodean a la transferencia de datos personales, de que existen esas garantías en
dicho tercer país y siempre que el tercer país haya obtenido los datos en el
contexto de una investigación penal de conformidad con los requisitos y
garantías procesales aplicables en virtud de su Derecho penal nacional. Cuando
un tercer país facilite a Europol datos de investigación, Europol debe
comprobar que la cantidad de datos personales no sea manifiestamente
desproporcionada en relación con la investigación penal específica que Europol
apoye en el Estado miembro en cuestión, y, en la medida de lo posible, que no
existan indicios objetivos de que los datos de investigación se hayan
recopilado en el tercer país en vulneración manifiesta de los derechos
fundamentales. Si Europol llega a la conclusión de que no se cumplen esas
condiciones, no debe tratar los datos y debe suprimirlos. Si un tercer país
facilita a Europol datos de investigación, el responsable de protección de
datos debe poder notificarlo al SEPD, cuando proceda.
(25) Para garantizar que un Estado miembro pueda utilizar los
informes analíticos de Europol en el contexto del procedimiento judicial a raíz
de una investigación penal, Europol debe poder conservar los datos de
investigación correspondientes, a petición de dicho Estado miembro, de la
Fiscalía Europea o de Eurojust, con el fin de garantizar la veracidad,
fiabilidad y trazabilidad del proceso de inteligencia criminal. Europol debe
conservar tales datos de tal modo que exista una separación funcional de otros
datos y únicamente durante el tiempo en que el procedimiento judicial
relacionado con la investigación penal se esté tramitando en el Estado miembro.
Asimismo, es necesario garantizar el acceso de las autoridades judiciales
competentes, así como los derechos de defensa, en particular, el derecho de los
sospechosos o acusados, o de sus abogados, a consultar el expediente. A tal
efecto, Europol debe registrar todas las pruebas y los métodos con los que las
haya producido u obtenido, para permitir un control efectivo de las pruebas por
parte de la defensa.
(26) Europol debe poder tratar los datos personales que haya recibido
antes de la entrada en vigor del presente Reglamento y que no atañan a las
categorías de interesados enumeradas en el anexo II, y de conformidad con este,
en dos supuestos. En el primer supuesto, Europol debe poder tratar dichos datos
personales en apoyo a una investigación penal o para garantizar la veracidad,
fiabilidad y trazabilidad del proceso de inteligencia criminal, siempre que se
cumplan los requisitos establecidos en las disposiciones transitorias relativas
al tratamiento de los datos personales recibidos en apoyo a una investigación
penal. En el segundo supuesto, Europol debe poder comprobar si dichos datos
personales atañen a alguna de las categorías de interesados enumeradas en el
anexo II, mediante la realización de un análisis preliminar de dichos datos
personales durante un plazo máximo de dieciocho meses a partir de la fecha en
que se recibieran por primera vez o, en casos justificados y previa
autorización del SEPD, durante un plazo más largo. El plazo máximo de
tratamiento de datos personales a efectos de dicho análisis preliminar no debe
exceder de tres años a partir de la fecha en que Europol los recibiera por
primera vez.
(27) Los casos transfronterizos de delincuencia grave o terrorismo
requieren una estrecha cooperación entre las autoridades competentes de los
Estados miembros afectados. Europol proporciona herramientas para apoyar esta
cooperación en las investigaciones, en particular, mediante el intercambio de
información. Para reforzar aún más esta cooperación en investigaciones penales
específicas mediante análisis operativos conjuntos, los Estados miembros deben
poder permitir a otros Estados miembros acceder directamente a la información
que hayan facilitado a Europol, sin perjuicio de las restricciones generales o
específicas que hayan indicado para la consulta de dicha información. Todo
tratamiento de datos personales por parte de los Estados miembros en el marco
de un análisis operativo conjunto debe llevarse a cabo de conformidad con el
presente Reglamento y la Directiva (UE) 2016/680.
(28) Europol y la Fiscalía Europea deben celebrar un acuerdo de
trabajo que establezca las modalidades de su cooperación, teniendo debidamente
en cuenta sus competencias respectivas. Europol debe colaborar estrechamente
con la Fiscalía Europea y apoyar activamente sus investigaciones a petición de
esta, también proporcionando apoyo analítico e información pertinente.
Asimismo, Europol debe cooperar con la Fiscalía Europea desde el momento en que
se denuncie un presunto delito ante la Fiscalía Europea hasta el momento en que
esta determine si debe ejercer la acción penal o archivar el asunto. Europol
debe informar sin demora indebida a la Fiscalía Europea de cualquier conducta
delictiva respecto de la que la Fiscalía Europea pueda ejercer su competencia.
Para mejorar la cooperación operativa entre Europol y la Fiscalía Europea,
Europol debe permitir que la Fiscalía Europea tenga acceso a los datos en poder
de Europol, sobre la base de un sistema de respuesta positiva o negativa que
notifique solo a Europol en caso de respuesta positiva, de conformidad con el
presente Reglamento, incluidas las posibles restricciones indicadas por el
proveedor de la información a Europol. Si la información se encuentra sujeta a
una restricción indicada por un Estado miembro, Europol debe remitir el asunto
a dicho Estado miembro para que este dé cumplimiento a sus obligaciones en
virtud del Reglamento (UE) 2017/1939. El Estado miembro de que se trate debe
informar posteriormente a la Fiscalía Europea de conformidad con su
procedimiento nacional. Las normas sobre transmisión de datos personales a los
organismos de la Unión establecidas en el presente Reglamento deben aplicarse a
la cooperación de Europol con la Fiscalía Europea. Europol también debe poder
apoyar las investigaciones de la Fiscalía Europea mediante el análisis de
conjuntos de datos voluminosos y complejos en consonancia con las salvaguardias
y las garantías en materia de protección de datos previstas en el presente
Reglamento.
(29) Europol debe cooperar estrechamente con la Oficina Europea de
Lucha contra el Fraude (OLAF) para detectar el fraude, la corrupción y
cualquier otra actividad ilegal que afecte a los intereses financieros de la
Unión. A tal fin, Europol debe transmitir sin demora indebida a la OLAF
cualquier información respecto de la cual la OLAF pueda ejercer su competencia.
Las normas sobre transmisión de datos personales a los organismos de la Unión
establecidas en el presente Reglamento deben aplicarse a la cooperación de
Europol con la OLAF.
(30) La delincuencia grave y el terrorismo suelen tener conexiones
fuera de la Unión. Europol puede intercambiar datos personales con terceros
países, salvaguardando al mismo tiempo la protección de la intimidad y los
derechos y libertades fundamentales de los interesados. Cuando sea fundamental
para la investigación de un delito específico que se incluya en los objetivos
de Europol, debe permitirse al director ejecutivo autorizar una categoría de
transferencias de datos personales a terceros países, en función del caso
concreto, cuando esa categoría de transferencias esté relacionada con la misma
situación específica, conste de las mismas categorías de datos personales y las
mismas categorías de interesados, sea necesaria y proporcionada a efectos de
investigación de un delito específico y cumpla todos los requisitos del
presente Reglamento. Las transferencias individuales que entren en una de las
categorías de transferencias deben poder incluir solamente algunas de las
categorías de datos personales y categorías de interesados cuya transferencia
haya autorizado el director ejecutivo. Asimismo, debe ser posible autorizar una
categoría de transferencias de datos personales en las situaciones específicas
siguientes: cuando la transferencia de datos personales sea necesaria para
proteger los intereses vitales del interesado o de otra persona; cuando la
transferencia de datos personales sea esencial para prevenir una amenaza
inminente y grave para la seguridad pública de un Estado miembro o de un tercer
país; cuando la finalidad de la transferencia de datos personales consista en
salvaguardar los intereses legítimos del interesado; o, en casos concretos,
cuando se haga a efectos de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales o se
haga para el reconocimiento, el ejercicio o la defensa de un derecho en un
procedimiento judicial relativo a la prevención, investigación, detección o
enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.
(31) Las transferencias que no se basen en una autorización del
director ejecutivo, una decisión de adecuación, un acuerdo internacional o un
acuerdo de cooperación solo deben permitirse cuando se hayan establecido las
garantías adecuadas en un instrumento jurídicamente vinculante relativas a la
protección de los datos personales o cuando Europol llegue a la conclusión,
basándose en una valoración de todas las circunstancias que rodean a la
transferencia de los datos personales, de que existen dichas garantías. A los
efectos de dicha valoración, Europol debe poder tener en cuenta los acuerdos
bilaterales celebrados entre Estados miembros y terceros países que permitan el
intercambio de datos personales y si la transferencia de datos personales ha de
estar sujeta a obligaciones de confidencialidad y al principio de
especificidad, garantizando que los datos no sean tratados para otros fines que
no sean la transferencia. Además, es importante que Europol tenga en cuenta si
los datos personales podrían utilizarse para solicitar, dictar o ejecutar una
pena de muerte u otra forma de trato cruel o inhumano. Europol debe poder exigir
garantías adicionales.
(32) Para apoyar a los Estados miembros en la cooperación con
entidades privadas cuando estas dispongan de información pertinente para
prevenir y combatir la delincuencia grave y el terrorismo, Europol debe poder
recibir datos personales procedentes de entidades privadas y, en circunstancias
específicas en las que resulte necesario y proporcionado, intercambiar datos
personales con entidades privadas.
(33) Los delincuentes recurren cada vez más a servicios ofrecidos por
entidades privadas para comunicarse y llevar a cabo actividades ilegales. Los
delincuentes sexuales explotan a niños y comparten imágenes y vídeos que
constituyen material de abusos sexuales a menores en todo el mundo en
plataformas en línea o con pares a través de servicios de comunicaciones
interpersonales independientes de la numeración. Los terroristas utilizan los
servicios ofrecidos por proveedores de servicios en línea para reclutar voluntarios,
planificar y coordinar atentados y difundir propaganda. Los ciberdelincuentes
se aprovechan de la digitalización de nuestras sociedades y de la falta de
cultura y capacidades digitales y otras competencias digitales del público en
general, utilizando la suplantación de identidad y la ingeniería social para
cometer otros tipos de ciberdelitos, como las estafas en línea, los ataques con
programas de secuestro o el fraude en los pagos. Como resultado del mayor uso
de los servicios en línea por parte de los delincuentes, las entidades privadas
poseen cantidades cada vez mayores de datos personales, incluidos datos sobre
el abonado, el tráfico y el contenido, que pueden ser pertinentes para las
investigaciones penales.
(34) Dada la naturaleza transfronteriza de internet, cabe la
posibilidad de que el proveedor de servicios en línea y la infraestructura
digital en la que se conservan los datos personales estén sujetos cada uno al
ámbito de competencia de distintos territorios, ya sea dentro o fuera de la
Unión. Por lo tanto, las entidades privadas pueden poseer conjuntos de datos
pertinentes para las autoridades policiales y que contengan datos personales
que sean competencia de varios territorios, así como datos personales que no
puedan atribuirse fácilmente al ámbito de competencia de ningún territorio
concreto. A las autoridades competentes de los Estados miembros les puede
resultar difícil analizar eficazmente estos conjuntos de datos que sean
competencia de varios territorios o que no puedan atribuirse a ninguno en
concreto mediante soluciones nacionales. Además, en la actualidad no existe un
punto de contacto único para las entidades privadas que decidan compartir de
forma legal y voluntaria conjuntos de datos con las autoridades competentes de
los Estados miembros. Por consiguiente, Europol debe disponer de medidas para
facilitar la cooperación de las entidades privadas, también en lo que respecta
al intercambio de información.
(35) Para garantizar que las entidades privadas dispongan de un punto
de contacto a nivel de la Unión para facilitar de forma legal y voluntaria
conjuntos de datos que sean competencia de varios territorios o conjuntos de
datos que no puedan atribuirse fácilmente a uno o varios territorios concretos,
Europol debe poder recibir datos personales directamente de entidades privadas
con el fin de facilitar a los Estados miembros la información necesaria para
determinar el territorio competente e investigar delitos en los territorios
correspondientes, de conformidad con el presente Reglamento. Dicha información
podría incluir informes de contenido moderado respecto a los que pueda
suponerse razonablemente su vinculación con actividades delictivas que se
incluyen en los objetivos de Europol.
(36) Para garantizar que los Estados miembros reciban la información
necesaria para iniciar investigaciones destinadas a prevenir y combatir la
delincuencia grave y el terrorismo sin demora indebida, Europol debe poder
tratar y analizar datos personales con el fin de determinar las unidades
nacionales afectadas y transmitirles los datos personales y cualquier resultado
de su análisis y comprobación de dichos datos que sean pertinentes para
determinar el territorio competente e investigar los delitos de que se trate en
sus respectivos territorios. Europol también debe poder transmitir los datos
personales y los resultados de su análisis y comprobación de dichos datos que
sean pertinentes para determinar el territorio competente a los puntos de
contacto o las autoridades de los terceros países de que se trate que sean
objeto de una decisión de adecuación, o con los que se haya celebrado un
acuerdo internacional o un acuerdo de cooperación, o cuando se establezcan, en
un instrumento jurídicamente vinculante, garantías adecuadas en relación con la
protección de los datos personales, o cuando Europol llegue a la conclusión,
basándose en una valoración de todas las circunstancias que rodean a la
transferencia de datos personales, de que existen dichas garantías en esos terceros
países. Cuando el tercer país de que se trate no sea objeto de una decisión de
adecuación o no sea parte en un acuerdo internacional o de cooperación o no
exista ningún instrumento jurídicamente vinculante, o cuando Europol no llegue
a la conclusión de que existen garantías adecuadas, Europol debe poder
transferir el resultado de su análisis y comprobación de dichos datos al tercer
país de que se trate de conformidad con el presente Reglamento.
(37) De conformidad con el Reglamento (UE) 2016/794, en determinados
casos y con condiciones, puede resultar necesario y proporcionado que Europol
transfiera datos personales a entidades privadas que no estén establecidas en
la Unión o en un tercer país que sea objeto de una decisión de adecuación o con
el que se haya celebrado un acuerdo internacional o de cooperación, o cuando no
se hayan establecido, en un instrumento jurídicamente vinculante, garantías
adecuadas en relación con la protección de los datos personales, o cuando
Europol no llegue a la conclusión de que existen garantías adecuadas. En tales
casos, la transmisión debe estar sujeta a la autorización previa del director
ejecutivo.
(38) Para garantizar que esté en condiciones de determinar todas las
unidades nacionales afectadas, Europol debe poder contactar con las entidades
privadas si la información que hayan proporcionado es insuficiente para que
Europol pueda determinar las unidades nacionales afectadas. Esto permitiría a
dichas entidades privadas decidir si les interesa compartir información
adicional con Europol y si pueden hacerlo legalmente. A tal fin, Europol debe
poder informar a las entidades privadas de información que falte, en la medida
en que ello resulte estrictamente necesario para el único propósito de
determinar las unidades nacionales afectadas. Deben aplicarse garantías
especiales a las transferencias de información de Europol a las entidades
privadas, en aquellos casos en los que la entidad privada de que se trate no
esté establecida en la Unión o en un tercer país que sea objeto de una decisión
de adecuación o con el que se haya celebrado un acuerdo internacional o de
cooperación, o cuando no se establezcan, en un instrumento jurídicamente
vinculante, garantías adecuadas en relación con la protección de los datos
personales, o cuando Europol no llegue a la conclusión de que existen dichas
garantías adecuadas.
(39) Cuando los Estados miembros, terceros países, organizaciones
internacionales o entidades privadas comparten con Europol conjuntos de datos
que sean competencia de varios territorios o conjuntos de datos que no puedan
atribuirse al ámbito de competencia de uno o varios territorios concretos, es
posible que dichos conjuntos de datos estén vinculados a datos personales en
poder de entidades privadas. En tales situaciones, Europol debe poder enviar
una solicitud a los Estados miembros, a través de sus unidades nacionales, para
obtener los datos personales en poder de entidades privadas que estén
establecidas o tengan un representante legal en el territorio de dichos Estados
miembros. Dicha solicitud solo debe formularse cuando sea necesario obtener
información adicional de tales entidades privadas para determinar a las
unidades nacionales afectadas. La solicitud debe estar motivada y ser lo más
precisa posible. Los datos personales pertinentes, que deben tener el carácter
menos sensible posible y deben limitarse a lo estrictamente necesario y
proporcionado para determinar las unidades nacionales pertinentes, deben
facilitarse a Europol de conformidad con el Derecho aplicable de los Estados
miembros afectados. Las autoridades competentes de los Estados miembros afectados
deben examinar la solicitud de Europol y decidir, de conformidad con su Derecho
nacional, si acceder a ella. Cualquier tratamiento de datos por parte de
entidades privadas que se lleve a cabo al tramitar dichas solicitudes de las
autoridades competentes de los Estados miembros debe permanecer sujeto al
Derecho aplicable, en particular, en materia de protección de datos. Las
entidades privadas deben facilitar a las autoridades competentes de los Estados
miembros los datos requeridos para su posterior transmisión a Europol. En
muchos casos, es posible que los Estados miembros afectados no puedan
establecer un vínculo con su territorio más que por el hecho de que la entidad
privada en poder de los datos pertinentes está establecida o representada legalmente
en su territorio. Con independencia de si tienen o no competencia respecto al
delito específico, los Estados miembros deben velar por que sus autoridades
nacionales competentes puedan obtener datos personales procedentes de entidades
privadas con el fin de facilitar a Europol la información necesaria para lograr
sus objetivos, respetando plenamente las garantías procesales establecidas en
su Derecho nacional.
(40) Para garantizar que Europol no conserve los datos personales
recibidos directamente de entidades privadas más tiempo del necesario para
determinar las unidades nacionales afectadas, deben aplicarse plazos para la
conservación de datos personales por parte de Europol. Una vez que Europol haya
agotado todos los medios a su alcance para determinar las unidades nacionales
afectadas y no pueda esperar razonablemente determinar otras unidades
nacionales afectadas, la conservación de dichos datos personales ya no será
necesaria ni proporcionada para determinar las unidades nacionales afectadas. Europol
debe cancelar los datos personales en un plazo de cuatro meses a partir de su
última transmisión, de haberlos transmitido a una unidad nacional o haberlos
transferido al punto de contacto de un tercer país o a una autoridad de un
tercer país, a menos que, de conformidad con el Derecho de la Unión y el
Derecho nacional, una unidad nacional, un punto de contacto o una autoridad
afectada vuelva a facilitar a Europol los datos personales como datos propios
en ese plazo. Si los datos personales que se hayan vuelto a facilitar formaban
parte de un conjunto más amplio de datos personales, Europol solo debe
conservar aquellos datos personales que se hayan vuelto a facilitar por una
unidad nacional, un punto de contacto o una autoridad afectada.
(41) La cooperación de Europol con entidades privadas no debe suponer
una duplicidad en las actividades de las unidades de información (o
inteligencia) financiera (UIF) establecidas con arreglo a la Directiva (UE)
2015/849 del Parlamento Europeo y del Consejo (12), ni interferir con dichas
actividades, y debe concernir únicamente a información que aún no deba
facilitarse a las UIF de conformidad con dicha Directiva. Europol debe seguir
cooperando con las UIF, en particular, a través de las unidades nacionales.
(42) Europol debe poder prestar el apoyo necesario para que las
autoridades competentes de los Estados miembros puedan interactuar con
entidades privadas, en particular, proporcionando la infraestructura necesaria
para esta interacción, por ejemplo, cuando las autoridades competentes de los
Estados miembros remitan contenidos terroristas en línea, envíen órdenes de
retirada de dicho contenido a proveedores de servicios en línea de conformidad
con el Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo (13), o intercambien información con
entidades privadas en el contexto de ciberataques. Cuando los Estados miembros
utilicen la infraestructura de Europol para el intercambio de datos personales
sobre delitos que no se incluyan en los objetivos de Europol, Europol no debe
tener acceso a tales datos. Europol debe asegurarse por medios técnicos de que
dicha infraestructura se limita estrictamente a proporcionar un canal para las
interacciones entre las autoridades competentes de los Estados miembros y una
entidad privada, y de que Europol proporciona todas las garantías necesarias
para evitar el acceso por parte de una entidad privada a cualquier otra
información en los sistemas de Europol que no guarde relación con el
intercambio con dicha entidad privada.
(43) Los atentados terroristas desencadenan la difusión a gran escala
de contenidos terroristas a través de plataformas en línea que muestran
imágenes de agresiones contra la vida o la integridad física o que incitan a
agresiones inminentes contra la vida o la integridad física, propiciando así la
glorificación del terrorismo y que se proporcione formación para este y, en
última instancia, la radicalización y el reclutamiento de otras personas.
Además, el mayor uso de internet para registrar o compartir el material de
abusos sexuales a menores perpetúa el daño a las víctimas, ya que el material
puede multiplicarse y distribuirse con facilidad. Con el fin de prevenir y
combatir los delitos que se incluyen en los objetivos de Europol, Europol debe
poder respaldar las acciones de los Estados miembros para hacer frente
eficazmente a la difusión de contenidos terroristas en el contexto de
situaciones de crisis en línea derivadas de acontecimientos reales actuales o
recientes, la difusión en línea de material en línea de abusos sexuales a
menores, y para apoyar las actuaciones de los proveedores de servicios de
conformidad con sus obligaciones en virtud del Derecho de la Unión y sus
actuaciones voluntarias. A tal fin, Europol debe poder intercambiar los datos
personales pertinentes –incluidas las firmas digitales únicas y no
reconvertibles («hash»), las direcciones IP o las URL relacionadas con dichos
contenidos– con entidades privadas establecidas en la Unión o en un tercer país
que sea objeto de una decisión de adecuación o, a falta de tal decisión, con el
que se haya celebrado un acuerdo internacional o de cooperación, o cuando se
establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en
relación con la protección de los datos personales, o Europol llegue a la
conclusión, basándose en una valoración de todas las circunstancias que rodean
a la transferencia de datos personales, de que existen dichas garantías en ese
tercer país. Dichos intercambios de datos personales solo deben tener lugar con
el fin de suprimir contenidos terroristas y material en línea de abusos
sexuales a menores, en particular, cuando se prevea la multiplicación
exponencial y viralidad de dicho contenido y material a través de múltiples
proveedores de servicios en línea. Nada de lo dispuesto en el presente
Reglamento debe entenderse en el sentido de que impida a un Estado miembro
utilizar las órdenes de retirada previstas en el Reglamento (UE) 2021/784 como
instrumento para combatir los contenidos terroristas en línea.
(44) Con el fin de evitar una duplicación de esfuerzos y posibles
interferencias con las investigaciones, y minimizar la carga para los
prestadores afectados de servicios de alojamiento de datos, Europol debe
apoyar, intercambiar información y cooperar con las autoridades competentes de
los Estados miembros en relación con las transmisiones y transferencias de
datos personales a entidades privadas para hacer frente a situaciones de crisis
en línea y a la difusión en línea de material en línea de abusos sexuales a
menores.
(45) El Reglamento (UE) 2018/1725 establece normas sobre la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales por las instituciones, órganos y organismos de la Unión. Si bien el
Reglamento (UE) 2018/1725 se aplica al tratamiento de datos personales
administrativos por parte de Europol que no guardan relación con
investigaciones penales, como, por ejemplo, los datos del personal, el artículo
3, punto 2, y el capítulo IX de dicho Reglamento, que regulan el tratamiento de
datos personales, no se aplican actualmente a Europol. A fin de garantizar la
protección uniforme y coherente de las personas físicas en lo que respecta al
tratamiento de datos personales, el capítulo IX del Reglamento (UE) 2018/1725
debe aplicarse a Europol, de conformidad con el artículo 2, apartado 2, de
dicho Reglamento, y debe complementarse con disposiciones específicas para las
operaciones específicas de tratamiento que Europol debe llevar a cabo para
desempeñar sus funciones. Por consiguiente, se deben reforzar las competencias
de supervisión del SEPD en relación con las operaciones de tratamiento de
Europol, en consonancia con las correspondientes competencias aplicables al
tratamiento de datos personales administrativos que se aplican a todas las instituciones,
órganos y organismos de la Unión con arreglo al capítulo VI del Reglamento (UE)
2018/1725. A tal fin, cuando Europol trate datos personales para fines
operativos, el SEPD debe poder ordenar a Europol que haga que sus operaciones
de tratamiento cumplan el presente Reglamento y ordenar la suspensión de los
flujos de datos a un destinatario en un Estado miembro, un tercer país o un
organismo internacional, y debe poder imponer una sanción administrativa en
caso de incumplimiento por parte de Europol.
(46) El tratamiento de datos a efectos del presente Reglamento podría
implicar el tratamiento de categorías especiales de datos personales tal como
establece el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (14). El tratamiento de fotografías
no debe considerarse sistemáticamente tratamiento de categorías especiales de
datos personales, pues las fotografías se encuentran comprendidas en la
definición de datos biométricos del artículo 3, punto 18, del Reglamento (UE)
2018/1725 solamente cuando el hecho de ser tratadas con medios técnicos
específicos permita la identificación o la autenticación unívocas de una
persona física.
(47) El mecanismo de consulta previa en el que participa el SEPD,
establecido por el Reglamento (UE) 2018/1725, es una salvaguardia importante
para los nuevos tipos de operaciones de tratamiento. Sin embargo, dicho
mecanismo no debe aplicarse a actividades operativas específicas, como los
proyectos de análisis operativos, sino al uso de nuevos sistemas informáticos
(TI) para el tratamiento de datos personales y a cualesquiera cambios
importantes de dichos sistemas que impliquen un riesgo elevado para los derechos
y libertades de los interesados. El plazo en el que debe exigirse al SEPD que
proporcione asesoramiento por escrito en relación con dichas consultas no debe
poder suspenderse. En el caso del tratamiento de actividades de gravedad
significativa para el desempeño de las funciones de Europol, que son
especialmente urgentes, Europol debe poder, con carácter excepcional, comenzar
el tratamiento una vez iniciada la consulta previa, incluso si el plazo para la
prestación de asesoramiento por escrito por parte del SEPD aún no ha vencido.
Dicha urgencia puede surgir en situaciones de importancia significativa para el
desempeño de las funciones de Europol, cuando el tratamiento sea necesario para
prevenir y hacer frente a una amenaza inmediata de un delito que se incluya en
los objetivos de Europol y para proteger los intereses vitales del interesado o
de otra persona. El responsable de protección de datos de Europol debe
participar en la valoración de la urgencia y la necesidad de dicho tratamiento
antes del vencimiento del plazo para que el SEPD responda a la consulta previa.
El responsable de protección de datos de Europol debe supervisar dicho
tratamiento. El SEPD debe poder ejercer sus competencias en relación con este
tratamiento.
(48) Habida
cuenta de los retos que el rápido desarrollo tecnológico y la explotación de
las nuevas tecnologías por parte de terroristas y otros delincuentes plantean
para la seguridad de la Unión, las autoridades competentes de los Estados
miembros necesitan reforzar sus capacidades tecnológicas para determinar,
asegurar y analizar los datos necesarios para investigar infracciones penales.
Europol debe poder apoyar a los Estados miembros en el uso de tecnologías
emergentes, en la consideración de nuevos enfoques y en el desarrollo de
soluciones tecnológicas comunes para que los Estados miembros prevengan y
combatan mejor los delitos que se incluyen en los objetivos de Europol. Al
mismo tiempo, Europol debe garantizar que el desarrollo, el uso y el despliegue
de nuevas tecnologías se guían por los principios de transparencia,
explicabilidad, equidad y rendición de cuentas, no socavan los derechos y
libertades fundamentales y cumplen el Derecho de la Unión. A tal efecto,
Europol debe poder llevar a cabo proyectos de investigación e innovación en
relación con las materias reguladas por el presente Reglamento, dentro del
alcance general de los proyectos de investigación e innovación establecidos por
el Consejo de Administración en un documento vinculante. Dicho documento debe
actualizarse cuando proceda y facilitarse al SEPD. Debe ser posible que tales
proyectos incluyan el tratamiento de datos personales únicamente cuando se
cumplan determinadas condiciones, a saber, que el tratamiento de datos
personales sea estrictamente necesario, que el objetivo del proyecto en
cuestión no pueda lograrse mediante el uso de datos no personales o anónimos, y
que se garantice el pleno respeto de los derechos fundamentales, en particular,
la no discriminación.
El tratamiento de categorías
especiales de datos personales con fines de investigación e innovación
únicamente debe permitirse cuando sea estrictamente necesario. Dado el carácter
sensible de dicho tratamiento, deben aplicarse garantías adicionales adecuadas,
incluida la seudonimización. Para evitar sesgos en la toma de decisiones
algorítmica, debe permitirse a Europol tratar datos personales que no atañan a
las categorías de interesados enumeradas en el anexo II. Europol debe llevar
registros de todo el tratamiento de datos personales realizado en el contexto
de sus proyectos de investigación e innovación únicamente con el fin de
comprobar la exactitud de los resultados del tratamiento de datos y únicamente
durante el tiempo necesario para dicha comprobación. Las disposiciones sobre el
desarrollo de nuevas herramientas por parte de Europol no deben constituir una
base jurídica para su despliegue a escala de la Unión o nacional. Para dirigir
la innovación y reforzar las sinergias en proyectos de investigación e
innovación, es importante que Europol intensifique su cooperación con las redes
pertinentes de profesionales de los Estados miembros y de otros organismos de
la Unión dentro de sus respectivas competencias en ese ámbito, así como que
apoye otras formas de cooperación relacionadas, como un apoyo de secretaría al
Centro Europeo de Innovación para la Seguridad Interior en tanto que red
colaborativa de laboratorios de innovación.
(49) Europol debe desempeñar un papel clave a la hora de ayudar a los
Estados miembros a desarrollar nuevas soluciones tecnológicas basadas en la
inteligencia artificial que sean pertinentes para el logro de los objetivos de
Europol y que beneficien a las autoridades competentes de los Estados miembros
en toda la Unión. Dicha ayuda debe prestarse con pleno respeto a los derechos y
libertades fundamentales, incluida la no discriminación. Europol debe
desempeñar un papel clave en la promoción del desarrollo y el despliegue de una
inteligencia artificial ética, fiable y centrada en el ser humano que esté sujeta
a garantías sólidas en términos de protección, seguridad, transparencia,
explicabilidad y derechos fundamentales.
(50) Europol debe informar al SEPD antes de poner en marcha proyectos
de investigación e innovación que impliquen el tratamiento de datos personales.
Europol debe informar o consultar a su Consejo de Administración, conforme a
determinados criterios que se deben fijar en directrices pertinentes. Europol
no debe tratar datos para fines de proyectos de investigación e innovación sin
el consentimiento del Estado miembro, el organismo de la Unión, el tercer país
o la organización internacional que haya facilitado los datos a Europol, a
menos que dicho Estado miembro, organismo de la Unión, tercer país u
organización internacional haya otorgado su autorización previa a dicho
tratamiento para tales fines. Para cada proyecto, Europol debe llevar a cabo,
antes del tratamiento, una evaluación de impacto sobre la protección de datos
para garantizar el respeto pleno de la protección de los datos y todos los
demás derechos y libertades fundamentales de los interesados. La evaluación de
impacto sobre la protección de datos debe incluir una valoración de la
idoneidad, necesidad y proporcionalidad de los datos personales que vayan a
tratarse para los fines específicos del proyecto, incluido el requisito de
minimización de datos y una evaluación de cualquier posible sesgo en el resultado
y en los datos personales que vayan a tratarse para los fines específicos del
proyecto, así como las medidas previstas para hacer frente a esos riesgos. El
desarrollo de nuevas herramientas por parte de Europol debe entenderse sin
perjuicio de la base jurídica, incluidos los motivos para el tratamiento de los
datos personales de que se trate, que posteriormente sería necesaria para su
despliegue a escala de la Unión o nacional.
(51) Dotar a Europol de herramientas y capacidades adicionales
requiere reforzar el control democrático y la rendición de cuentas de esta. El
control parlamentario conjunto constituye un elemento importante del
seguimiento político de las actividades de Europol. Para permitir un
seguimiento político eficaz de la manera en que Europol emplea las herramientas
y capacidades adicionales puestas a su disposición en virtud del presente
Reglamento, Europol debe proporcionar al Grupo de Control Parlamentario
Conjunto (GCPC) y a los Estados miembros información anual detallada sobre el
desarrollo, uso y eficacia de tales herramientas y capacidades y el resultado
de su uso, en concreto, en relación con proyectos de investigación e
innovación, así como nuevas actividades o la creación de nuevos centros
especializados en el seno de Europol. Además, se debe invitar a dos
representantes del GCPC, uno del Parlamento Europeo y otro de los Parlamentos
nacionales, para reflejar la doble circunscripción del GCPC, al menos a dos reuniones
ordinarias del Consejo de Administración al año para dirigirse a dicho Consejo
de Administración en nombre del GCPC y discutir sobre el informe anual de
actividades consolidado, el documento único de programación y el presupuesto
anual, las preguntas y respuestas por escrito del GCPC, así como las relaciones
exteriores y asociaciones, al mismo tiempo que se respetan las distintas
funciones y responsabilidades del Consejo de Administración y del GCPC de
conformidad con el presente Reglamento. El Consejo de Administración, junto con
los representantes del GCPC, debe poder determinar otros asuntos de interés
político que se deban discutir. En consonancia con el papel de supervisión del
GCPC, los dos representantes de este órgano no deben tener derechos de voto en
el Consejo de Administración. Las actividades de investigación e innovación
previstas deben figurar en el documento único de programación que contiene la
programación plurianual y el programa de trabajo anual de Europol y deben
transmitirse al GCPC.
(52) A propuesta del director ejecutivo, el Consejo de Administración
debe designar un agente de derechos fundamentales que se encargue de apoyar a
Europol para que vele por el respeto de los derechos fundamentales en todas sus
actividades y tareas, y en particular, en sus proyectos de investigación e
innovación y en el intercambio de datos personales con entidades privadas. Debe
ser posible designar como agente de derechos fundamentales a un miembro en
plantilla de Europol que haya recibido una formación especial jurídica y
práctica en materia de derechos fundamentales. El agente de derechos
fundamentales debe cooperar estrechamente con el responsable de la protección
de datos en el ámbito de sus respectivas competencias. En la medida en que ataña
a cuestiones de protección de datos, toda la responsabilidad debe recaer en el
agente de derechos fundamentales.
(53) Dado que el objetivo del presente Reglamento, a saber, apoyar y
reforzar la actuación de las autoridades competentes de los Estados miembros y
su cooperación mutua en la prevención y la lucha contra la delincuencia grave
que afecte a dos o más Estados miembros, el terrorismo y las formas de
delincuencia que lesionen un interés común protegido por una política de la
Unión, no puede ser alcanzado de manera suficiente por los Estados miembros,
sino que, debido al carácter transfronterizo de la delincuencia grave y el
terrorismo, y a la necesidad de una respuesta coordinada a las amenazas a la
seguridad conexas, puede lograrse mejor a escala de la Unión, esta puede
adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en
el artículo 5 del TUE. De conformidad con el principio de proporcionalidad
establecido en el mismo artículo, el presente Reglamento no excede de lo
necesario para alcanzar dicho objetivo.
(54) De conformidad con el artículo 3 del Protocolo n.o 21 sobre la posición del Reino
Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia,
anejo al TUE y al TFUE, Irlanda ha notificado su deseo de participar en la
adopción y aplicación del presente Reglamento.
(55) De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de
Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del
presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.
(56) El SEPD, al que se consultó de conformidad con el artículo 42,
apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 8 de marzo de
2021 (15).
(57) El presente Reglamento respeta plenamente los derechos y
garantías fundamentales, y observa los principios reconocidos, en particular,
en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo,
«Carta»), especialmente el derecho al respeto de la vida privada y familiar y
el derecho a la protección de datos de carácter personal, tal como establecen
los artículos 7 y 8 de la Carta, así como el artículo 16 del TFUE. Dada la
importancia del tratamiento de datos personales para la labor policial en
general, y para el apoyo prestado por Europol en particular, el presente
Reglamento debe incluir garantías mejoradas y mecanismos de control democrático
y rendición de cuentas para garantizar que las actividades y las tareas de
Europol se lleven a cabo en plena conformidad con los derechos fundamentales
consagrados en la Carta, en particular, con los derechos a la igualdad ante la
ley, la no discriminación y la tutela judicial efectiva ante el órgano jurisdiccional
nacional competente frente a cualquiera de las medidas adoptadas con arreglo al
presente Reglamento. Todo tratamiento de datos personales en virtud del
presente Reglamento se debe limitar a lo estrictamente necesario y
proporcionado, y debe estar sujeto a condiciones claras, requisitos estrictos y
una supervisión efectiva por parte del SEPD.
(58) Por lo tanto, procede modificar el Reglamento (UE) 2016/794 en
consecuencia.
(59) A fin de permitir la rápida aplicación de las medidas
establecidas en el presente Reglamento, este debe entrar en vigor el día
siguiente al de su publicación en el Diario Oficial de la Unión Europea.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
El Reglamento (UE) 2016/794 se modifica como sigue:
1) El
artículo 2 se modifica como sigue:
a) se suprimen las letras h) a k) y las letras m), n) y o);
b) la
letra p) se sustituye por el texto siguiente:
«p) “datos personales administrativos”: los datos personales
tratados por Europol que no sean datos personales operativos;»;
c) se añaden las letras siguientes:
«q) datos de investigación”: los datos que un Estado miembro, la
Fiscalía Europea creada por el Reglamento (UE) 2017/1939 del Consejo (*1), Eurojust o un tercer país esté
autorizado a tratar en una investigación penal en curso relacionada con uno o
varios Estados miembros, de conformidad con los requisitos y garantías
procesales aplicables en virtud del Derecho de la Unión o nacional, que un
Estado miembro, la Fiscalía Europea, Eurojust o un tercer país haya facilitado
a Europol en apoyo de dicha investigación penal en curso y que contengan datos
personales que no atañan a las categorías de interesados enumeradas en el anexo
II;
r) “contenidos terroristas”: los contenidos terroristas tal
como se definen en el artículo 2, punto 7, del Reglamento (UE) 2021/784 del
Parlamento Europeo y del Consejo (*2);
s) “material en línea de abusos sexuales a menores”: el
material en línea que constituya pornografía infantil tal como se define esta
en el artículo 2, letra c), de la Directiva 2011/93/UE del Parlamento Europeo y
del Consejo (*3) o espectáculo
pornográfico tal como se define este en el artículo 2, letra e), de dicha
Directiva;
t) “situación de crisis en línea”: la difusión de contenido en
línea derivado de un acontecimiento real actual o reciente, que muestre
imágenes de agresiones contra la vida o la integridad física o que incite a
agresiones inminentes contra la vida o la integridad física y que tenga por
objeto o por efecto intimidar gravemente a una población, siempre que exista un
vínculo, o una sospecha razonable de un vínculo, con el terrorismo o el
extremismo violento y que se prevean una potencial multiplicación exponencial y
una difusión viral de ese contenido a través de múltiples servicios en línea;
u) “categoría de transferencias de datos personales”: un
conjunto de transferencias de datos personales cuando los datos se refieran a
la misma situación específica y cuando las transferencias consistan en las
mismas categorías de datos personales y las mismas categorías de interesados;
v) “proyectos de investigación e innovación”: los proyectos
relativos a las materias reguladas por el presente Reglamento, que tengan por
objeto el desarrollo, el entrenamiento, la prueba y la validación de algoritmos
para el desarrollo de herramientas específicas, y otros proyectos específicos
de investigación e innovación que resulten pertinentes para lograr los
objetivos de Europol.
(*1) Reglamento
(UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece
una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1)."
(*2) Reglamento
(UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021,
sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79)."
(*3) Directiva
2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011,
relativa a la lucha contra los abusos sexuales y la explotación sexual de los
menores y la pornografía infantil y por la que se sustituye la Decisión Marco
2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).»."
2) El
artículo 4 se modifica como sigue:
a) el
apartado 1 se modifica como sigue:
i) se
inserta la letra siguiente:
«h bis) prestar apoyo administrativo y financiero a las
unidades especiales de intervención de los Estados miembros a que se refiere la
Decisión 2008/617/JAI del Consejo (*4).
(*4) Decisión
2008/617/JAI del Consejo, de 23 de junio de 2008, sobre la mejora de la
cooperación entre las unidades especiales de intervención de los Estados
miembros de la Unión Europea en situaciones de crisis (DO L 210 de 6.8.2008, p. 73).»,"
ii) la
letra j) se sustituye por el texto siguiente:
«j) cooperar con los organismos de la Unión establecidos sobre la
base del título V del TFUE, con la OLAF y la Agencia de la Unión Europea para
la Ciberseguridad (ENISA) creada por el Reglamento (UE) 2019/881 del Parlamento
Europeo y del Consejo (*5), en particular, mediante el
intercambio de información y la prestación de apoyo analítico en ámbitos
incluidos dentro de sus respectivas competencias;
(*5) Reglamento
(UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la
certificación de la ciberseguridad de las tecnologías de la información y la
comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (“Reglamento sobre la
Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).»,"
iii) la
letra m) se sustituye por el texto siguiente:
«m) respaldar
las acciones de los Estados miembros para prevenir y combatir las formas de
delincuencia enumeradas en el anexo I que hayan sido facilitadas, fomentadas o
cometidas a través de internet, incluyendo las siguientes actuaciones:
i) ayudar a las autoridades competentes de los Estados
miembros, a petición de estas, a responder a ciberataques de presunto origen
delictivo,
ii) cooperar con las autoridades competentes de los Estados
miembros en relación con las órdenes de retirada, de conformidad con el
artículo 14 del Reglamento (UE) 2021/784, y
iii) notificar contenidos en línea a los proveedores de servicios en línea de que se trate para que examinen de manera voluntaria la compatibilidad de esos contenidos con sus propias condiciones contractuales.»,
iv) se
añaden las letras siguientes:
«r) apoyar a los Estados miembros en la identificación de las
personas cuyas actividades delictivas se incluyen en las formas de delincuencia
enumeradas en el anexo I y que constituyen un alto riesgo para la seguridad;
s) facilitar investigaciones conjuntas, coordinadas y
prioritarias en relación con las personas a que se refiere la letra r);
t) apoyar a los Estados miembros en el tratamiento de los datos
sobre personas implicadas en terrorismo o en formas de delincuencia grave
facilitados a Europol por terceros países u organizaciones internacionales y
proponer la posible introducción por parte de los Estados miembros, a su
discreción y a reserva de su propia comprobación y análisis de dichos datos, de
las descripciones de información en interés de la Unión relativas a nacionales
de terceros países (en lo sucesivo, “descripciones de información”) en el
Sistema de Información de Schengen (SIS), de conformidad con el Reglamento (UE)
2018/1862 del Parlamento Europeo y del Consejo (*6);
u) apoyar la aplicación del mecanismo de evaluación y
seguimiento para verificar la aplicación del acervo de Schengen que establece
el Reglamento (UE) n.o 1053/2013, dentro del ámbito de
los objetivos de Europol, proporcionando conocimientos especializados y
análisis, cuando sea pertinente;
v) hacer un seguimiento proactivo de las actividades de
investigación e innovación que sean pertinentes para el logro de los objetivos
de Europol y contribuir a tales actividades mediante un apoyo a las actividades
conexas de los Estados miembros y mediante la ejecución de sus propias
actividades de investigación e innovación, incluidos los proyectos de
desarrollo, entrenamiento, prueba y validación de algoritmos para el desarrollo
de herramientas específicas para su uso por las autoridades policiales, y difundir
los resultados de dichas actividades entre los Estados miembros de conformidad
con el artículo 67;
w) contribuir a crear sinergias entre las actividades de
investigación e innovación de los organismos de la Unión, que sean pertinentes
para el logro de los objetivos de Europol, también por medio del Centro de
Innovación de la UE para la Seguridad Interior, y en estrecha colaboración con
los Estados miembros;
x) apoyar, previa solicitud de los Estados miembros, las
acciones de estos para hacer frente a situaciones de crisis en línea, en
particular, proporcionando a las entidades privadas la información necesaria
para identificar los contenidos en línea pertinentes;
y) respaldar las acciones de los Estados miembros para hacer
frente a la difusión en línea de material en línea de abusos sexuales a
menores;
z) cooperar, de conformidad con el artículo 12 de la Directiva
(UE) 2019/1153 del Parlamento Europeo y del Consejo (*7), con las unidades de
inteligencia financiera (UIF) establecidas con arreglo a la Directiva (UE)
2015/849 del Parlamento Europeo y del Consejo (*8), por medio de la correspondiente
unidad nacional de Europol o, si así lo permite el Estado miembro de que se
trate, mediante un contacto directo con las UIF, en particular, intercambiando
información y proporcionando análisis a los Estados miembros para apoyar las
investigaciones transfronterizas de las actividades de blanqueo de capitales de
organizaciones delictivas transnacionales y las de financiación del terrorismo;
(*6) Reglamento
(UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de
2018, relativo al establecimiento, funcionamiento y utilización del Sistema de
Información de Schengen (SIS) en el ámbito de la cooperación policial y de la
cooperación judicial en materia penal, por el que se modifica y deroga la
Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo
y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56)."
(*7) Directiva (UE)
2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la
que se establecen normas destinadas a facilitar el uso de información
financiera y de otro tipo para la prevención, detección, investigación o
enjuiciamiento de infracciones penales y por la que se deroga la Decisión
2000/642/JAI del Consejo (DO L 186 de 11.7.2019, p. 122)."
(*8) Directiva (UE)
2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa
a la prevención de la utilización del sistema financiero para el blanqueo de
capitales o la financiación del terrorismo, y por la que se modifica el
Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se
derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la
Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).»,"
v) se
añaden los párrafos siguientes:
«Se establecerá un mecanismo de información periódica
para que los Estados miembros informen a los demás Estados miembros y a
Europol, en un plazo de doce meses desde que Europol haya propuesto la posible
introducción de una descripción de información a que se refiere la letra t) del
párrafo primero, sobre el resultado de la comprobación y análisis de los datos
y sobre si se ha introducido en el SIS alguna descripción.
Los Estados miembros informarán a Europol de cualquier descripción de información introducida en el SIS y de cualquier respuesta positiva en relación con dicha descripción de información, y podrán informar, por medio de Europol, sobre las respuestas positivas relacionadas con dicha descripción de información al tercer país u organización internacional que haya facilitado los datos que hayan dado lugar a la introducción de la descripción de información, de conformidad con el procedimiento establecido en el Reglamento (UE) 2018/1862.»;
b) en el
apartado 2, la segunda frase se sustituye por el texto siguiente:
«Europol prestará asistencia
igualmente en la ejecución operativa de esas prioridades, en particular, en el
marco de la plataforma multidisciplinar europea contra las amenazas delictivas
(EMPACT), también facilitando y ofreciendo apoyo administrativo, logístico,
financiero y operativo a las actividades operativas y estratégicas dirigidas
por los Estados miembros.»;
c) en el
apartado 3, se añade la frase siguiente:
«Europol también proporcionará
análisis de evaluación de amenazas basados en la información que obre en su
poder sobre fenómenos y tendencias delictivas para apoyar a la Comisión y a los
Estados miembros en la realización de las evaluaciones de riesgos.»;
d) se
insertan los apartados siguientes:
«4 bis.
Europol asistirá a los Estados miembros y a la Comisión en la
identificación de los temas clave de investigación.
Europol asistirá a la Comisión en la elaboración y
ejecución de los programas marco de la Unión para las actividades de
investigación e innovación que sean pertinentes para lograr los objetivos de
Europol.
Cuando sea conveniente, Europol podrá difundir los
resultados de sus actividades de investigación e innovación como parte de su
contribución a la creación de sinergias entre las actividades de investigación
e innovación de los correspondientes organismos de la Unión, de conformidad con
el apartado 1, párrafo primero, letra w).
Europol adoptará todas las medidas necesarias para
evitar conflictos de intereses. Europol no podrá recibir financiación de un
determinado programa marco de la Unión cuando asista a la Comisión en la
identificación de los temas clave de investigación y en la elaboración y
ejecución de dicho programa.
A la hora de diseñar y conceptualizar las actividades
de investigación e innovación relativas a las materias objeto del presente
Reglamento, Europol podrá, en su caso, consultar al Centro Común de
Investigación de la Comisión.
4 ter. Europol
apoyará a los Estados miembros en el control de casos específicos de
inversiones extranjeras directas en la Unión, en lo que respecta a las
implicaciones previstas para la seguridad en virtud del Reglamento (UE)
2019/452 del Parlamento Europeo y del Consejo (*9) que afecten a
empresas que suministren tecnologías, incluidos programas informáticos,
utilizadas por Europol para la prevención e investigación de delitos que se
incluyan en los objetivos de Europol.
(*9) Reglamento
(UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019,
para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).»;"
e) el
apartado 5 se sustituye por el texto siguiente:
«5. Europol no
aplicará medidas coercitivas en el desempeño de sus funciones.
El personal de Europol podrá
prestar apoyo operativo a las autoridades competentes de los Estados miembros
durante la ejecución de las medidas de investigación, a petición de estas y de
conformidad con su Derecho nacional, en particular, facilitando el intercambio
transfronterizo de información, proporcionando apoyo criminalístico y técnico,
y estando presente durante la ejecución de dichas medidas. El personal de
Europol no estará facultado por sí mismo para ejecutar medidas de
investigación.»;
f) se
añade el apartado siguiente:
«5 bis. En el ejercicio de sus funciones, Europol respetará los derechos y libertades fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”).».
3) El
artículo 6 se modifica como sigue:
a) se
inserta el apartado siguiente:
«1 bis. Sin perjuicio de lo dispuesto en el apartado
1, cuando el director ejecutivo considere que debe abrirse una investigación
penal sobre un delito específico que afecte solo a un Estado miembro pero
lesione un interés común protegido por una política de la Unión, podrá proponer
a las autoridades competentes del Estado miembro afectado, a través de su
unidad nacional, que inicien, realicen o coordinen dicha investigación penal.»;
b) el
apartado 2 se sustituye por el texto siguiente:
«2. Las unidades nacionales informarán sin
demora indebida a Europol, en relación con cualquier solicitud formulada con
arreglo al apartado 1, o al director ejecutivo, en relación con cualquier
propuesta realizada con arreglo al apartado 1 bis, de la decisión de las
autoridades competentes de los Estados miembros.»;
c) el
apartado 4 se sustituye por el texto siguiente:
«4. Europol informará de inmediato a Eurojust y,
cuando proceda, a la Fiscalía Europea, de cualquier solicitud formulada con
arreglo al apartado 1 o cualquier propuesta realizada con arreglo al apartado 1
bis, y de cualquier decisión de una autoridad competente de un Estado
miembro con arreglo al apartado 2.».
4) En el
artículo 7, el apartado 8 se sustituye por el texto siguiente:
«8. Los Estados miembros velarán por que sus UIF
estén facultadas para responder, dentro de los límites de sus mandatos y
competencias y respetando las garantías procesales nacionales, a las
solicitudes debidamente justificadas que formule Europol de conformidad con el
artículo 12 de la Directiva (UE) 2019/1153 relativas a información financiera y
análisis financieros, bien por medio de su unidad nacional o bien, si así lo
permite el correspondiente Estado miembro, mediante contactos directos entre la
UIF y Europol.».
5) En el
artículo 11, el apartado 1 se modifica como sigue:
a) la
letra a) se sustituye por el texto siguiente:
«a) adoptará cada año el documento único de programación a que se
refiere el artículo 32 del Reglamento Delegado (UE) 2019/715 de la Comisión (*10), por mayoría de dos tercios de
sus miembros y de conformidad con el artículo 12 del presente Reglamento.
(*10) Reglamento
Delegado (UE) 2019/715 de la Comisión, de 18 de diciembre de 2018, relativo al
Reglamento Financiero marco de los organismos creados en virtud del TFUE y el
Tratado Euratom y a los que se refiere el artículo 70 del Reglamento (UE,
Euratom) 2018/1046 del Parlamento Europeo y del Consejo (DO L 122 de 10.5.2019, p. 1).»;"
b) se
añaden las letras siguientes:
«v) designará al agente de derechos fundamentales a que se refiere
el artículo 41 quater;
w) especificará los criterios sobre cuya base Europol podrá formular propuestas para la posible introducción de descripciones de información en el SIS.».
6) El
artículo 12 se modifica como sigue:
a) el
apartado 1 se sustituye por el texto siguiente:
«1. El Consejo
de Administración adoptará a más tardar el 30 de noviembre de cada año un
documento único de programación que incluya la programación plurianual de
Europol y el programa de trabajo anual, sobre la base de un proyecto presentado
por el director ejecutivo, teniendo en cuenta el dictamen de la Comisión y, en
lo que respecta a la programación plurianual, previa consulta al Grupo de
Control Parlamentario Conjunto (GCPC).
Cuando el Consejo de Administración decida no tener en
cuenta el dictamen de la Comisión mencionado en el párrafo primero, en su
totalidad o en parte, Europol proporcionará una justificación exhaustiva.
Cuando el Consejo de Administración decida no tener en
cuenta ninguna de las cuestiones planteadas por el GCPC de conformidad con el
artículo 51, apartado 2, letra c), Europol proporcionará una justificación
exhaustiva.
Una vez se haya adoptado el
documento único de programación, el Consejo de Administración lo remitirá al
Consejo, a la Comisión y al GCPC.»;
b) En el
apartado 2, el párrafo primero se sustituye por el texto siguiente:
«La programación plurianual fijará la programación estratégica general, incluidos los objetivos, los resultados esperados y los indicadores de rendimiento. También establecerá la planificación de los recursos, incluidos el presupuesto plurianual y la plantilla de personal. Incluirá la estrategia sobre las relaciones con terceros países u organizaciones internacionales y las actividades de investigación e innovación previstas por Europol.»
7) En el
artículo 14, el apartado 4 se sustituye por el texto siguiente:
«4. El Consejo
de Administración podrá invitar a sus reuniones, en calidad de observador sin
derecho a voto, a cualquier persona cuya opinión pueda ser de interés para la
discusión.
Se invitará a dos representantes del GCPC a asistir a
dos reuniones ordinarias del Consejo de Administración al año, en calidad de
observadores sin derecho a voto para discutir las siguientes cuestiones de
interés político:
a) el informe anual de actividad consolidado mencionado en el
artículo 11, apartado 1, letra c), correspondiente al año anterior;
b) el documento único de programación mencionado en el artículo
12 y correspondiente al año siguiente, así como el presupuesto anual;
c) las preguntas y respuestas por escrito del GCPC;
d) las cuestiones relativas a las relaciones exteriores y las
asociaciones.
El Consejo de Administración,
junto con los representantes del GCPC, podrá determinar otras cuestiones de
interés político que deban discutirse en las reuniones mencionadas en el párrafo
primero.».
8) El
artículo 16 se modifica como sigue:
a) el
apartado 3 se sustituye por el texto siguiente:
«3. Tanto el Consejo como el GCPC podrán
convocar al director ejecutivo para que informe sobre el ejercicio de sus
funciones.»;
b) el
apartado 5 se modifica como sigue:
i) la
letra d) se sustituye por el texto siguiente:
«d) la preparación del proyecto de documento único de programación
a que se refiere el artículo 12 y su presentación al Consejo de Administración,
previa consulta a la Comisión y al GCPC;»,
ii) se
inserta la letra siguiente:
«o bis) la información al Consejo de Administración
sobre los memorandos de entendimiento firmados con entidades privadas;».
9) El
artículo 18 se modifica como sigue:
a) el
apartado 2 se modifica como sigue:
i) la
letra d) se sustituye por el texto siguiente:
«d) intercambios más ágiles de información entre los Estados
miembros, Europol, otros organismos de la Unión, terceros países,
organizaciones internacionales y entidades privadas;»,
ii) se
añaden las letras siguientes:
«e) proyectos de investigación e innovación;
f) actividades destinadas a apoyar a los Estados miembros,
previa solicitud de estos, a la hora de informar al público sobre los
sospechosos o las personas condenadas en búsqueda sobre la base de una
resolución judicial nacional relativa a un delito que se incluya en los
objetivos de Europol, y a facilitar que el público proporcione información
sobre dichas personas a los Estados miembros y a Europol.»;
b) se
inserta el apartado siguiente:
«3 bis. De ser necesario para lograr los objetivos
de los proyectos de investigación e innovación de Europol, el tratamiento de
datos personales con dicho fin se llevará a cabo únicamente en el contexto de
proyectos de investigación e innovación de Europol con unos fines y objetivos
claramente definidos y de conformidad con el artículo 33 bis.»;
c) el
apartado 5 se sustituye por el texto siguiente:
«5. Sin perjuicio de lo dispuesto en el artículo
8, apartado 4, el artículo 18, apartado 2, letra e), el artículo 18 bis,
y del tratamiento de datos en virtud del artículo 26, apartado 6 quater,
cuando la infraestructura de Europol se emplee para intercambios bilaterales de
datos personales y Europol no disponga de acceso al contenido de los datos, las
categorías de datos personales y las categorías de interesados cuyos datos
pueden ser recogidos y tratados a efectos del apartado 2 del presente artículo
se enumeran en el anexo II.»;
d) se
inserta el apartado siguiente:
«5 bis.
De conformidad con el artículo 73 del Reglamento (UE) 2018/1725 del
Parlamento Europeo y del Consejo (*11), cuando corresponda, y en la
medida de lo posible, Europol hará una distinción clara entre los datos
personales que atañen a las diferentes categorías de interesados enumeradas en
el anexo II.
(*11) Reglamento
(UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018,
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por las instituciones, órganos y organismos de
la Unión, y a la libre circulación de esos datos, y por el que se derogan el
Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).»;"
e) el
apartado 6 se sustituye por el texto siguiente:
«6. Europol podrá tratar datos de forma temporal
con el fin de determinar si tales datos son pertinentes para el desempeño de
sus funciones y, en caso de que lo sean, para qué fines de los mencionados en
el apartado 2. El plazo para el tratamiento de dichos datos no superará los
seis meses a partir de la recepción de los datos.»;
f) se insertan los apartados
siguientes:
«6 bis.
Antes del tratamiento de datos en aplicación del apartado 2 del presente
artículo, cuando resulte estrictamente necesario con el único fin de determinar
si los datos personales se ajustan a lo dispuesto en el apartado 5 del presente
artículo, Europol podrá tratar temporalmente los datos personales que se le
hayan facilitado en virtud del artículo 17, apartados 1 y 2, incluido el cotejo
de esos datos con todos los datos que Europol ya trate de conformidad con el
apartado 5 del presente artículo.
Europol tratará datos personales en virtud del párrafo
primero durante un período máximo de dieciocho meses a partir del momento en
que Europol determine que esos datos se incluyen en sus objetivos o, en casos
justificados, durante un período más largo, cuando sea necesario a efectos del
presente artículo. Europol informará al SEPD de toda ampliación del período de
tratamiento. El período máximo de tratamiento de datos en virtud del párrafo
primero será de tres años. Dichos datos personales se conservarán de tal modo
que exista una separación funcional de otros datos.
Cuando Europol llegue a la conclusión de que los datos
personales a los que se refiere el párrafo primero del presente apartado no se
ajustan a lo dispuesto en el apartado 5, los suprimirá e informará de ello, en
su caso, al proveedor de los datos suprimidos.
6 ter. El Consejo de Administración, a propuesta
del director ejecutivo, tras haber consultado al SEPD y teniendo debidamente en
cuenta los principios mencionados en el artículo 71 del Reglamento (UE)
2018/1725, especificará las condiciones relativas al tratamiento de los datos a
los que se refieren los apartados 6 y 6 bis del presente artículo, en
particular, en lo que respecta al suministro, el acceso y el uso de esos datos,
así como a los plazos de conservación y supresión de tales datos, que no
superarán los indicados en los apartados 6 y 6 bis del presente
artículo.».
10) se inserta el artículo siguiente:
«Artículo 18 bis
Tratamiento de
datos personales en apoyo de una investigación penal
1. Cuando sea
necesario para apoyar una investigación penal específica en curso que entre en
el ámbito de los objetivos de Europol, Europol podrá tratar los datos
personales que no atañan a las categorías de interesados enumeradas en el anexo
II en el caso de que:
a) un Estado miembro, la Fiscalía
Europea o Eurojust facilite datos de investigación a Europol en aplicación del
artículo 17, apartado 1, letras a) o b), y solicite a Europol apoyo en esa
investigación:
i) mediante un
análisis operativo en virtud del artículo 18, apartado 2, letra c), o
ii) en casos excepcionales y debidamente justificados, mediante controles
cruzados en virtud del artículo 18, apartado 2, letra a);
b) Europol valore que no es posible llevar a cabo el análisis operativo en
virtud del artículo 18, apartado 2, letra c), o los controles cruzados en
virtud del artículo 18, apartado 2, letra a), en apoyo de dicha investigación
sin tratar datos personales que no se ajusten a lo dispuesto en el artículo 18,
apartado 5.
Los resultados de la valoración a la que se refiere la
letra b) del párrafo primero se registrarán y remitirán al SEPD a título
informativo, cuando Europol deje de apoyar la investigación mencionada en el
párrafo primero.
2. Cuando el
Estado miembro a que se refiere el apartado 1, párrafo primero, letra a), deje
de estar autorizado para tratar los datos en la investigación penal específica
en curso a la que se refiere el apartado 1, de conformidad con los requisitos y
garantías procesales establecidos en virtud del Derecho nacional aplicable,
informará a Europol.
Cuando la Fiscalía Europea o Eurojust facilite datos
de investigación a Europol y deje de estar autorizada para tratar los datos de
la investigación penal específica en curso a la que se refiere el apartado 1,
de conformidad con los requisitos y garantías procesales aplicables en virtud
del Derecho de la Unión y del Derecho nacional, informará a Europol.
3. Europol
podrá tratar los datos de investigación de conformidad con el artículo 18,
apartado 2, durante todo el tiempo en que apoye la investigación penal
específica en curso para la que se hayan facilitado los datos de investigación
de conformidad con el apartado 1, párrafo primero, letra a), del presente
artículo, y únicamente con el fin de apoyar dicha investigación.
4. Europol
podrá conservar los datos de investigación facilitados de conformidad con el
apartado 1, párrafo primero, letra a), y el resultado del tratamiento de dichos
datos una vez transcurrido el período de tratamiento indicado en el apartado 3,
a petición del proveedor de dichos datos de investigación, con el fin de
garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia
criminal, y únicamente durante el tiempo en que se esté tramitando el
procedimiento judicial relacionado con la investigación penal específica para
la que se hayan facilitado dichos datos.
Los proveedores de los datos de investigación a que se
refiere el apartado 1, párrafo primero, letra a), o, con su acuerdo, un Estado
miembro en el que esté tramitándose un procedimiento judicial relacionado con
una investigación penal conexa, podrá solicitar a Europol que conserve los
datos de investigación y el resultado de su análisis operativo de dichos datos
una vez transcurrido el período de tratamiento indicado en el apartado 3 con el
fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de
inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando
en dicho otro Estado miembro un procedimiento judicial relacionado con una
investigación penal conexa.
5. Sin
perjuicio del tratamiento de datos personales con arreglo al artículo 18,
apartado 6 bis, los datos personales que no atañan a las categorías de
interesados enumeradas en el anexo II se conservarán de tal modo que exista una
separación funcional de otros datos y solo se tratarán cuando ello sea
necesario y proporcionado para los fines de los apartados 3, 4 y 6 del presente
artículo.
El Consejo de Administración, a propuesta del director
ejecutivo y previa consulta al SEPD, especificará las condiciones relativas al
suministro y al tratamiento de datos personales de conformidad con los
apartados 3 y 4.
6. Los
apartados 1 a 4 del presente artículo también se aplicarán cuando un tercer
país según el artículo 25, apartado 1, letras a), b) o c), o el artículo 25,
apartado 4 bis, facilite datos personales a Europol y dicho tercer país
le facilite datos de investigación para análisis operativos que contribuyan a
la investigación penal específica en uno o varios Estados miembros a los que
Europol apoye, siempre que el tercer país obtuviera los datos en el contexto de
una investigación penal de conformidad con los requisitos y garantías
procesales aplicables en virtud de su Derecho penal nacional.
Cuando un tercer país facilite datos de investigación
a Europol de conformidad con el párrafo primero, el responsable de protección
de datos podrá notificarlo al SEPD, cuando proceda.
Europol comprobará que la cantidad de datos personales
a los que se refiere el párrafo primero no sea manifiestamente desproporcionada
en relación con la investigación penal específica en el Estado miembro de que
se trate. Cuando Europol llegue a la conclusión de que existen indicios de que
tales datos son manifiestamente desproporcionados o han sido obtenidos
vulnerando claramente los derechos fundamentales, Europol no tratará los datos
y los suprimirá.
Europol podrá consultar los datos
personales tratados con arreglo al presente apartado solo cuando sea necesario
para apoyar la investigación penal específica para la que hayan sido
facilitados. Dichos datos personales se compartirán únicamente dentro de la
Unión.».
11) En el artículo 19, los apartados
1 y 2 se sustituyen por el texto siguiente:
«1. El Estado
miembro, organismo de la Unión, tercer país u organización internacional que
facilite información a Europol determinará el fin o los fines para los que deba
tratarse dicha información de conformidad con el artículo 18.
Cuando el proveedor de información a que se refiere el
párrafo primero no haya cumplido lo dispuesto en dicho párrafo, Europol, de
acuerdo con el proveedor de información en cuestión, tratará la información con
el fin de determinar la pertinencia de dicha información, así como el fin o los
fines de su ulterior tratamiento.
Europol tratará la información con un fin distinto a
aquel para el que fue facilitada solo si así lo autoriza el proveedor de la información.
La información facilitada a efectos del artículo 18,
apartado 2, letras a) a d), también podrá ser tratada por Europol a efectos del
artículo 18, apartado 2, letra e), de conformidad con el artículo 33 bis.
2. Los Estados miembros, organismos de la
Unión, terceros países y organizaciones internacionales podrán indicar, en el
momento de facilitar la información a Europol, cualquier restricción a su
acceso o el uso que se deba hacer de ella, en términos generales o específicos,
también por lo que respecta a su transferencia, transmisión, cancelación o
destrucción. Cuando la necesidad de tales restricciones se manifieste después
de haber facilitado la información, informarán de ello a Europol. Europol cumplirá con esas
restricciones.».
12) El artículo 20 se modifica como
sigue:
a) se inserta el apartado siguiente:
«2 bis. En el marco de la realización de los
proyectos de análisis operativos a que se refiere el artículo 18, apartado 3, y
siempre que se cumplan las normas y garantías para el tratamiento de datos
personales establecidas en el presente Reglamento, los Estados miembros podrán
determinar la información que Europol debe poner directamente a disposición de
otros Estados miembros seleccionados a efectos de un análisis operativo
conjunto en investigaciones específicas, sin perjuicio de las posibles
restricciones indicadas con arreglo al artículo 19, apartado 2, y de
conformidad con los procedimientos que se establezcan en las directrices
mencionadas en el artículo 18, apartado 7.»;
b) en el apartado 3, la parte
introductoria se sustituye por el texto siguiente:
«3. De conformidad con el Derecho nacional, los
Estados miembros tendrán acceso a la información mencionada en los apartados 1,
2 y 2 bis y la tratarán ulteriormente solo a efectos de la prevención,
detección, investigación y enjuiciamiento de:».
13) Se inserta el artículo siguiente:
«Artículo 20 bis
Relaciones con
la Fiscalía Europea
1. Europol
entablará y mantendrá una estrecha relación con la Fiscalía Europea. En el
marco de dicha relación, Europol y la Fiscalía Europea actuarán dentro de sus
respectivos mandatos y competencias. Para ello, celebrarán un acuerdo de
trabajo que establezca las modalidades de su cooperación.
2. A solicitud
de la Fiscalía Europea de conformidad con el artículo 102 del Reglamento (UE)
2017/1939, Europol apoyará las investigaciones de la Fiscalía Europea y
cooperará con ella, facilitando información y apoyo analítico, hasta que la
Fiscalía Europea determine si debe ejercer la acción penal o archivar el
asunto.
3. A fin de
facilitar información a la Fiscalía Europea con arreglo al apartado 2 del
presente artículo, Europol adoptará todas las medidas adecuadas para permitir
que la Fiscalía Europea tenga acceso indirecto, sobre la base de un sistema de
respuesta positiva o negativa, a los datos relacionados con las infracciones
que sean competencia de la Fiscalía Europea, facilitados a efectos del artículo
18, apartado 2, letras a), b) y c). Ese sistema de respuesta positiva o
negativa dará notificación a Europol solamente en caso de respuesta positiva y
sin perjuicio de las posibles restricciones indicadas con arreglo al artículo
19, apartado 2, por los proveedores de información mencionados en el artículo
19, apartado 1.
En caso de respuesta positiva, Europol abrirá el
procedimiento para que pueda compartirse la información que generó la respuesta
positiva, de conformidad con la decisión del proveedor de la información a la
que se refiere el artículo 19, apartado 1, y solo en la medida en que los datos
que hayan generado la respuesta positiva resulten pertinentes para la solicitud
presentada con arreglo al apartado 2 del presente artículo.
4. Europol
informará sin demora indebida a la Fiscalía Europea de cualquier conducta
delictiva respecto de la cual la Fiscalía Europea pueda ejercer su competencia
de conformidad con el artículo 22 y el artículo 25, apartados 2 y 3, del
Reglamento (UE) 2017/1939 y sin perjuicio de las posibles restricciones
indicadas con arreglo al artículo 19, apartado 2, del presente Reglamento por
el proveedor de la información.
Cuando Europol informe a la Fiscalía Europea con
arreglo al párrafo primero, lo notificará sin demora a los Estados miembros
afectados.
Cuando alguna información
relativa a la conducta delictiva respecto de la cual la Fiscalía Europea puede
ejercer su competencia haya sido facilitada a Europol por un Estado miembro que
haya indicado restricciones al uso de dicha información con arreglo al artículo
19, apartado 2, del presente Reglamento, Europol notificará a la Fiscalía
Europea la existencia de dichas restricciones y remitirá el asunto al Estado
miembro afectado. El Estado miembro afectado colaborará directamente con la
Fiscalía Europea a fin de cumplir lo dispuesto en el artículo 24, apartados 1 y
4, del Reglamento (UE) 2017/1939.».
14) En el artículo 21, se añade el
apartado siguiente:
«8. Si durante
el tratamiento de la información en relación con una investigación penal
específica o un proyecto específico, Europol detecta información pertinente
acerca de una posible actividad ilegal que afecte a los intereses financieros
de la Unión, Europol facilitará sin demora a la OLAF dicha información, sin
perjuicio de las posibles restricciones indicadas con arreglo al artículo 19,
apartado 2, por el Estado miembro que facilitó la información.
Cuando Europol facilite a la OLAF
información con arreglo al párrafo primero, lo notificará sin demora a los
Estados miembros afectados.».
15) En el artículo 23, el apartado 7
se sustituye por el texto siguiente:
«7. Las transferencias ulteriores de datos
personales en poder de Europol por parte de Estados miembros, organismos de la
Unión, terceros países, organizaciones internacionales o entidades privadas
estarán prohibidas, a menos que Europol haya dado su autorización expresa
previa.».
16) El título de la sección 2 se
sustituye por el texto siguiente:
«Transmisión, transferencia e
intercambio de datos personales».
17) El artículo 24 se sustituye por
el texto siguiente:
«Artículo 24
Transmisión de
datos personales a organismos de la Unión
1. Europol
únicamente transmitirá datos personales a un organismo de la Unión de
conformidad con el artículo 71, apartado 2, del Reglamento (UE) 2018/1725,
siempre que se respeten las posibles restricciones en virtud del presente
Reglamento y sin perjuicio de lo dispuesto en el artículo 67 del presente
Reglamento, si dichos datos son necesarios y proporcionados para el legítimo
desempeño de las funciones del organismo de la Unión destinatario.
2. Cuando otro
organismo de la Unión haya solicitado la transmisión de datos personales,
Europol verificará la competencia de ese otro organismo. Cuando Europol no
pueda confirmar que la transmisión de datos personales es necesaria de
conformidad con el apartado 1, pedirá al organismo de la Unión solicitante que
aporte información complementaria.
El organismo de la Unión solicitante garantizará que
pueda valorarse la necesidad de la transmisión de los datos personales.
3. El organismo de la Unión destinatario
tratará los datos personales mencionados en los apartados 1 y 2 únicamente para
los fines para los que hayan sido transmitidos.».
18) El artículo 25 se modifica como
sigue:
a) el apartado 1 se modifica como
sigue:
i) la parte introductoria se
modifica como sigue:
«1. Siempre que se respeten las posibles
restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin
perjuicio de lo dispuesto en el artículo 67, Europol podrá transferir datos
personales a las autoridades competentes de un tercer país o a una organización
internacional, a condición de que dicha transferencia sea necesaria para el
desempeño de las funciones de Europol, sobre la base de alguno de los actos
siguientes:»,
ii) la letra a) se sustituye por el
texto siguiente:
«a) una decisión de
la Comisión adoptada de conformidad con el artículo 36 de la Directiva (UE)
2016/680, en la que se decida que el tercer país, un territorio o uno o varios
sectores específicos en ese tercer país, o la organización internacional de que
se trate garantizan un nivel de protección adecuado (“decisión de
adecuación”),»;
b) se suprime el apartado 3;
c) se inserta el apartado siguiente:
«4 bis.
A falta de decisión de adecuación, el Consejo de Administración podrá
autorizar a Europol a transferir datos personales a una autoridad competente de
un tercer país o a una organización internacional cuando:
a) se hayan aportado garantías adecuadas con respecto a la protección de datos
personales, en un instrumento jurídicamente vinculante, o
b) Europol haya valorado todas las circunstancias que concurren en la
transferencia de los datos personales y haya llegado a la conclusión de que
existen garantías adecuadas con respecto a la protección de datos personales.»;
d) el apartado 5 se modifica como
sigue:
i) la parte introductoria se
sustituye por el texto siguiente:
«No obstante lo dispuesto en el
apartado 1, el director ejecutivo podrá autorizar, en casos debidamente
justificados, la transferencia o una categoría de transferencias de datos
personales a una autoridad competente de un tercer país o a una organización
internacional en función del caso concreto, si la transferencia o la categoría
de transferencias es:»,
ii) la letra b) se sustituye por el
texto siguiente:
«b) necesaria para
salvaguardar intereses legítimos del interesado,»;
e) el apartado 8 se sustituye por el
texto siguiente:
«8. Europol informará al SEPD sobre las
categorías de transferencias contempladas en el apartado 4 bis, letra
b). Cuando una transferencia se efectúe de conformidad con los apartados 4 bis
o 5, se documentará y la documentación se pondrá a disposición del SEPD previa
petición. La documentación incluirá un registro de la fecha y hora de la
transferencia, así como información sobre la autoridad competente a la que se
refiere el presente artículo, sobre la justificación de la transferencia y
sobre los datos personales transferidos.».
19) El artículo 26 se modifica como
sigue:
a) en el apartado 1, la letra c) se
sustituye por el texto siguiente:
«c) una autoridad de
un tercer país o una organización internacional a que se refiere el artículo
25, apartado 1, letra a), b) o c), o el artículo 25, apartado 4 bis.»;
b) el apartado 2 se sustituye por el
texto siguiente:
«2. Cuando
Europol reciba datos personales directamente de entidades privadas, podrá
tratar dichos datos personales de conformidad con el artículo 18, con el fin de
determinar las unidades nacionales afectadas, a las que se refiere el apartado
1, letra a), del presente artículo. Europol transmitirá inmediatamente a las
unidades nacionales afectadas los datos personales y todos los resultados
pertinentes del tratamiento necesario de dichos datos para determinar el
territorio competente. Europol podrá transmitir los datos personales y los
resultados pertinentes del tratamiento necesario de dichos datos para
determinar el territorio competente, de conformidad con el artículo 25, a los
puntos de contacto y a las autoridades afectadas a que se refiere el apartado
1, letras b) y c), del presente artículo. En caso de que Europol no pueda
determinar las unidades nacionales afectadas o ya haya transmitido los datos
personales pertinentes a todas las unidades nacionales afectadas determinadas y
no sea posible determinar otras unidades nacionales afectadas, cancelará los
datos, a menos que la unidad nacional, el punto de contacto o la autoridad
afectada vuelva a facilitar los datos personales a Europol de conformidad con
el artículo 19, apartado 1, en un plazo de cuatro meses a partir de la fecha en
que tenga lugar la transmisión o la transferencia.
Los criterios para determinar si
la unidad nacional del Estado miembro en el que esté establecida la entidad
privada pertinente constituye una unidad nacional afectada se establecerán en
las directrices a que se refiere el artículo 18, apartado 7.»;
c) se inserta el apartado siguiente:
«2 bis. La cooperación de Europol con entidades
privadas no deberá suponer una duplicidad en las actividades de las UIF de los
Estados miembros ni interferir con ellas, y no concernirá a información que
deba facilitarse a las UIF a efectos de la Directiva (UE) 2015/849.»;
d) el apartado 4 se sustituye por el
texto siguiente:
«4. Cuando
Europol reciba datos personales procedentes de una entidad privada establecida
en un tercer país, Europol solo transmitirá dichos datos y el resultado del
análisis y comprobación de dichos datos a un Estado miembro o a un tercer país
afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c) o
el artículo 25, apartado 4 bis.
Sin perjuicio de lo dispuesto en
el párrafo primero del presente apartado, Europol podrá transferir los
resultados a los que se refiere el párrafo primero del presente apartado al
tercer país de que se trate con arreglo al artículo 25, apartados 5 o 6.»;
e) los apartados 5 y 6 se sustituyen
por el texto siguiente:
«5. Europol no
podrá transmitir ni transferir datos personales a entidades privadas excepto en
los casos siguientes y siempre que dicha transmisión o transferencia sea
estrictamente necesaria y proporcionada, en función de cada caso concreto:
a) la transmisión o la transferencia revista indudablemente un interés para el
interesado;
b) la transmisión o la transferencia sea estrictamente necesaria para prevenir
la perpetración inminente de un delito que se incluya en los objetivos de
Europol, incluido el terrorismo;
c) la transmisión o la transferencia
de datos personales que estén públicamente disponibles sea estrictamente
necesaria para desempeñar la función a que se refiere el artículo 4, apartado
1, letra m), y se cumplan las siguientes condiciones:
i) que la transmisión
o la transferencia se refiera a un caso concreto y específico,
ii) que los derechos y libertades fundamentales de los interesados no primen
sobre el interés público que exija que esos datos personales se transmitan o
transfieran en el caso de que se trate, o
d) la transmisión o la transferencia
sea estrictamente necesaria para que Europol notifique a la entidad privada que
la información recibida es insuficiente para permitir a Europol determinar las
unidades nacionales afectadas, y se cumplan las siguientes condiciones:
i) que la transmisión o la transferencia se produzca tras la recepción de
datos personales directamente de una entidad privada de conformidad con el
apartado 2,
ii) que la información que falte, a la que Europol puede referirse en su
notificación, tenga un vínculo claro con la información previamente compartida
por dicha entidad privada,
iii) que la
información que falte, a la que Europol puede referirse en su notificación, se
limite estrictamente a lo necesario para que Europol determine las unidades
nacionales afectadas.
La transmisión o transferencia
mencionada en el párrafo primero del presente apartado estará supeditada a las
posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y
se entenderá sin perjuicio de lo dispuesto en el artículo 67.
6. En relación
con el apartado 5, letras a), b) y d), del presente artículo, si la entidad
privada de que se trate no está establecida en la Unión o en un tercer país
según se contempla en el artículo 25, apartado 1, letras a), b) o c), o el
artículo 25, apartado 4 bis, el director ejecutivo solo podrá autorizar
la transferencia si es:
a) necesaria para
proteger los intereses vitales del interesado o de otra persona;
b) necesaria para
salvaguardar intereses legítimos del interesado;
c) esencial para prevenir una amenaza inminente y grave para la seguridad
pública de un Estado miembro o de un tercer país;
d) necesaria en casos concretos a efectos de prevención, investigación,
detección o enjuiciamiento de un delito específico que se incluya en los
objetivos de Europol, o
e) necesaria en casos concretos para el reconocimiento, el ejercicio o la
defensa de un derecho en un procedimiento judicial relativo a la prevención,
investigación, detección o enjuiciamiento de una infracción penal específica
que se incluya en los objetivos de Europol.
Los datos personales no podrán
ser transferidos si el director ejecutivo determina que los derechos y
libertades fundamentales del interesado priman sobre el interés público que
requiere la transferencia a que se refiere el párrafo primero, letras d) y e),
del presente apartado.»;
f) se insertan los apartados
siguientes:
«6 bis.
Sin perjuicio de lo dispuesto en el apartado 5, letras a), c) y d), del
presente artículo y en otros actos jurídicos de la Unión, las transferencias o
transmisiones de datos personales con arreglo a los apartados 5 y 6 no serán
sistemáticas, masivas ni estructurales.
6 ter. Europol
podrá solicitar a los Estados miembros, a través de las unidades nacionales,
que obtengan, de conformidad con el Derecho nacional, datos personales
procedentes de entidades privadas que estén establecidas o tengan un
representante legal en su territorio, con el fin de compartir dichos datos con
Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas
posible. Dichos datos personales tendrán el carácter menos sensible posible y
se limitarán estrictamente a lo que sea necesario y proporcionado para que
Europol pueda determinar las unidades nacionales afectadas.
No obstante la competencia de los Estados miembros
sobre un delito específico, los Estados miembros garantizarán que sus
autoridades competentes puedan tramitar las solicitudes a las que se refiere el
párrafo primero de conformidad con su Derecho nacional con el fin de facilitar
a Europol la información necesaria para determinar las unidades nacionales
afectadas.
6 quater.
La infraestructura de Europol podrá utilizarse para intercambios entre
las autoridades competentes de los Estados miembros y las entidades privadas de
conformidad con el Derecho nacional respectivo. Dichos intercambios también
podrán tratar sobre delitos que no se incluyan en los objetivos de Europol.
Cuando los Estados miembros utilicen la
infraestructura de Europol para el intercambio de datos personales sobre
delitos que se incluyan en los objetivos de Europol, podrán otorgar a Europol
acceso a dichos datos.
Cuando los Estados miembros utilicen la infraestructura
de Europol para el intercambio de datos personales sobre delitos que no se
incluyan en los objetivos de Europol, Europol no podrá tener acceso a dichos
datos y se le considerará un encargado del tratamiento de conformidad con el
artículo 87 del Reglamento (UE) 2018/1725.
Europol evaluará los riesgos para
la seguridad que plantee permitir la utilización de su infraestructura por
parte de entidades privadas, y, en caso necesario, aplicará las medidas
preventivas y de atenuación adecuadas.»;
g) se suprimen los
apartados 9 y 10;
h) se añade el apartado siguiente:
«11. Europol
preparará un informe anual para el Consejo de Administración sobre los datos
personales intercambiados con entidades privadas en virtud de los artículos 26,
26 bis y 26 ter, a partir de criterios de evaluación
cuantitativos y cualitativos establecidos por el Consejo de Administración.
El informe anual incluirá ejemplos concretos que
demuestren la necesidad de las solicitudes de Europol de conformidad con el
apartado 6 ter del presente artículo para cumplir sus objetivos y
desempeñar sus funciones.
El informe anual tendrá en cuenta las obligaciones de
discreción y confidencialidad, y los ejemplos se anonimizarán en lo que
respecta a los datos personales.
El informe anual se remitirá al
Parlamento Europeo, al Consejo, a la Comisión y a los Parlamentos nacionales.».
20) Se insertan los artículos
siguientes:
«Artículo 26 bis
Intercambio de
datos personales con entidades privadas en situaciones de crisis en línea
1. En
situaciones de crisis en línea, Europol podrá recibir datos personales
directamente de entidades privadas y tratar dichos datos personales de
conformidad con el artículo 18.
2. Cuando
Europol reciba datos personales procedentes de una entidad privada establecida
en un tercer país, transmitirá dichos datos y los resultados de su análisis y
comprobación de dichos datos solamente a un Estado miembro, o a un tercer país
afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c),
o en el artículo 25, apartado 4 bis.
Europol podrá transferir los resultados de su análisis
y comprobación de los datos a los que se refiere el apartado 1 del presente
artículo al tercer país afectado en virtud del artículo 25, apartados 5 o 6.
3. Europol podrá
transmitir o transferir datos personales a entidades privadas, en función del
caso concreto, respetando las posibles restricciones indicadas con arreglo al
artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo
67, cuando la transmisión o la transferencia de dichos datos sea estrictamente
necesaria para hacer frente a situaciones de crisis en línea, y los derechos y
libertades fundamentales de los interesados afectados no primen sobre el
interés público que requiera que esos datos personales se transmitan o
transfieran.
4. Cuando la
entidad privada de que se trate no esté establecida en la Unión o en un tercer
país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en
el artículo 25, apartado 4 bis, la transferencia requerirá la
autorización del director ejecutivo.
5. Europol
prestará asistencia, intercambiará información y cooperará con las autoridades
competentes de los Estados miembros en relación con las transmisiones y las
transferencias de datos personales a entidades privadas con arreglo a los
apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, para
reforzar la coordinación y evitar interferencias con investigaciones en
distintos Estados miembros.
6. Europol
podrá solicitar a los Estados miembros, a través de las unidades nacionales,
que obtengan, de conformidad con el Derecho nacional, datos personales
procedentes de entidades privadas que estén establecidas o tengan un
representante legal en su territorio, con el fin de compartir dichos datos con
Europol. Esta solicitud deberá estar motivada y ser lo más precisa posible.
Dichos datos personales tendrán el carácter menos sensible posible y se
limitarán estrictamente a lo que sea necesario y proporcionado con la finalidad
de permitir que Europol apoye a los Estados miembros para hacer frente a las
situaciones de crisis en línea.
No obstante la competencia de los Estados miembros en
materia de difusión del contenido sobre el que Europol solicite datos
personales, los Estados miembros garantizarán que sus autoridades competentes
puedan tramitar las solicitudes a las que se refiere el párrafo primero de
conformidad con el Derecho nacional, con el fin de facilitar a Europol la
información necesaria para lograr sus objetivos.
7. Europol garantizará
que se lleve un registro detallado de todas las transferencias de datos
personales y de los motivos para dichas transferencias, de conformidad con el
presente Reglamento. A petición del SEPD, Europol pondrá tal registro a su
disposición en virtud del artículo 39 bis.
8. Si los
datos personales recibidos o por transferir afectan a los intereses de un
Estado miembro, Europol informará inmediatamente a la unidad nacional del
Estado miembro de que se trate.
Artículo 26 ter
Intercambio de
datos personales con entidades privadas para combatir la difusión en línea de
material en línea de abusos sexuales a menores
1. Europol
podrá recibir datos personales directamente de entidades privadas y tratar
dichos datos personales de conformidad con el artículo 18 para combatir la
difusión en línea de material en línea de abusos sexuales a menores, a que se
refiere el artículo 4, apartado 1, letra y).
2. Cuando
Europol reciba datos personales procedentes de una entidad privada establecida
en un tercer país, transmitirá dichos datos y los resultados de su análisis y
comprobación de dichos datos solamente a un Estado miembro, o a un tercer país
afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c),
o en el artículo 25, apartado 4 bis.
Europol podrá transferir los resultados de su análisis
y comprobación de los datos mencionados en el párrafo primero del presente
apartado al tercer país afectado con arreglo al artículo 25, apartados 5 o 6.
3. Europol
podrá transmitir o transferir datos personales a entidades privadas, en función
del caso concreto, siempre que se respeten las posibles restricciones indicadas
con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio del artículo 67,
cuando la transmisión o la transferencia de dichos datos sea estrictamente
necesaria para combatir la difusión en línea de material en línea de abusos
sexuales a menores a que se refiere el artículo 4, apartado 1, letra y), y los
derechos y libertades fundamentales de los interesados afectados no primen
sobre el interés público que requiera que esos datos personales se transmitan o
transfieran.
4. Cuando la
entidad privada de que se trate no esté establecida en la Unión o en un tercer
país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en
el artículo 25, apartado 4 bis, la transferencia requerirá la
autorización del director ejecutivo.
5. Europol
prestará asistencia, intercambiará información y cooperará con las autoridades
competentes de los Estados miembros en relación con las transmisiones y las
transferencias de datos personales a entidades privadas con arreglo a los
apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos,
reforzar la coordinación y evitar interferencias con investigaciones en
distintos Estados miembros.
6. Europol
podrá solicitar a los Estados miembros, a través de las unidades nacionales,
que obtengan, de conformidad con el Derecho nacional, datos personales
procedentes de entidades privadas que estén establecidas o tengan un
representante legal en su territorio, con el fin de compartir dichos datos con
Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas
posible. Dichos datos personales tendrán el carácter menos sensible posible y
se limitarán estrictamente a lo que sea necesario y proporcionado para que
Europol pueda combatir la difusión en línea de material en línea de abusos
sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y).
No obstante la competencia de los Estados miembros en materia
de difusión del contenido sobre el que Europol solicite datos personales, los
Estados miembros garantizarán que las autoridades competentes de los Estados
miembros puedan tramitar las solicitudes a las que se refiere el párrafo
primero de conformidad con el Derecho nacional con el fin de facilitar a
Europol la información necesaria para lograr sus objetivos.
7. Europol
garantizará que se lleve un registro detallado de todas las transferencias de
datos personales y de los motivos para dichas transferencias, de conformidad
con el presente Reglamento. A petición del SEPD, Europol pondrá tal registro a
su disposición en virtud del artículo 39 bis.
8. Si los datos personales recibidos o por
transferir afectan a los intereses de un Estado miembro, Europol informará
inmediatamente a la unidad nacional del Estado miembro de que se trate.».
21) En el artículo 27, los apartados
1 y 2 se sustituyen por el texto siguiente:
«1. En la
medida en que lo necesite para el desempeño de sus funciones, Europol podrá
recibir y tratar información procedente de particulares.
Europol solo podrá tratar los datos personales
procedentes de particulares si han sido recibidos a través de:
a) una unidad
nacional, de conformidad con el Derecho nacional;
b) el punto de contacto de un tercer país o una organización internacional en
aplicación del artículo 25, apartado 1, letra c), o
c) una autoridad de un tercer país o una organización internacional según se
contempla en el artículo 25, apartado 1, letras a) o b), o en el artículo 25,
apartado 4 bis.
2. Cuando Europol reciba información, incluidos
datos personales, procedente de un particular residente en un tercer país que
no sea aquel a que se refiere el artículo 25, apartado 1, letras a) o b), o el
artículo 25, apartado 4 bis, solo podrá remitir dicha información a un
Estado miembro o a ese tercer país.».
22) El título del capítulo VI se
sustituye por el texto siguiente:
«PROTECCIÓN DE DATOS».
23) Se inserta el artículo siguiente:
«Artículo 27 bis
Tratamiento de
datos personales por Europol
1. Sin
perjuicio de lo dispuesto en el presente Reglamento, el artículo 3 y el
capítulo IX del Reglamento (UE) 2018/1725 se aplicarán al tratamiento de datos
personales por Europol.
El Reglamento (UE) 2018/1725, a excepción del capítulo
IX, se aplicará al tratamiento de datos personales administrativos por Europol.
2. Las
referencias a “datos personales” en el presente Reglamento se entenderán como
referencias a “datos personales operativos” tal como se definen en el artículo
3, punto 2, del Reglamento (UE) 2018/1725, salvo que se disponga otra cosa en
el presente Reglamento.
3. El Consejo de Administración adoptará normas
para determinar los plazos de conservación de los datos personales
administrativos.».
24) Se suprime el artículo 28.
25) El artículo 30 se modifica como
sigue:
a) en el apartado 2, la primera
frase se sustituye por el texto siguiente:
«2. El tratamiento de datos personales, ya sea
por medios automatizados o de otro tipo, que revelen el origen racial o étnico,
las opiniones políticas, las creencias religiosas o filosóficas, o la filiación
sindical y el tratamiento de los datos genéticos, los datos biométricos
destinados a identificar de manera unívoca a una persona física, o los datos
relativos a la salud o a la vida sexual o a la orientación sexual de personas
físicas estará permitido solo cuando sea estrictamente necesario y proporcionado
para fines de proyectos de investigación e innovación en virtud del artículo 33
bis y con fines operativos, dentro de los objetivos de Europol, y
únicamente para prevenir o combatir los delitos que se incluyan en los
objetivos de Europol. Tal tratamiento estará sujeto asimismo a unas garantías
adecuadas establecidas en el presente Reglamento con respecto a los derechos y
libertades del interesado y, a excepción de los datos biométricos tratados a
efectos de identificar de manera unívoca a una persona física, se permitirá
únicamente si esos datos complementan otros datos personales tratados por
Europol.»;
b) se inserta el apartado siguiente:
«2 bis. El responsable de la protección de datos
será informado sin demora indebida en el caso de que se traten datos personales
en virtud del presente artículo.»;
c) el apartado 3 se sustituye por el
texto siguiente:
«3. Solo
Europol tendrá acceso directo a los datos personales a que se refieren los
apartados 1 y 2. El director ejecutivo autorizará debidamente dicho acceso a un
número limitado de miembros del personal de Europol cuando sea necesario para
que desempeñen sus tareas.
No obstante lo dispuesto en el
párrafo primero, cuando resulte necesario autorizar al personal de las
autoridades competentes de los Estados miembros o de los organismos de la Unión
establecidos sobre la base del título V del TFUE un acceso directo a datos
personales para desempeñar sus tareas, en los casos previstos en el artículo
20, apartados 1 y 2 bis, del presente Reglamento, o para proyectos de
investigación e innovación de conformidad con el artículo 33 bis,
apartado 2, letra d), del presente Reglamento, el director ejecutivo autorizará
debidamente tal acceso a un número limitado de miembros de dicho personal.»;
d) se suprime el apartado 4;
e) el apartado 5 se sustituye por el
texto siguiente:
«5. Los datos personales a que se refieren los
apartados 1 y 2 no se transmitirán a los Estados miembros u organismos de la
Unión ni se transferirán a terceros países u organizaciones internacionales, a
menos que tal transmisión o transferencia sea obligatoria en virtud del Derecho
de la Unión o sea estrictamente necesaria y proporcionada en casos concretos de
delitos que se incluyan en los objetivos de Europol y de conformidad con el
capítulo V.».
26) El artículo 32 se sustituye por
el texto siguiente:
«Artículo 32
Seguridad del
tratamiento
Europol y los Estados miembros
establecerán, de conformidad, respectivamente, con el artículo 91 del
Reglamento (UE) 2018/1725 y con el artículo 29 de la Directiva (UE) 2016/680,
mecanismos para garantizar que se abordan las medidas de seguridad, más allá de
los límites de los sistemas de información.».
27) Se suprime el artículo 33.
28) Se inserta el artículo siguiente:
«Artículo 33 bis
Tratamiento de
datos personales para investigación e innovación
1. Europol
podrá tratar datos personales para fines de sus proyectos de investigación e
innovación a condición de que el tratamiento de dichos datos personales:
a) sea absolutamente necesario y esté debidamente justificado para lograr los
objetivos del proyecto de que se trate;
b) por lo que se refiere a categorías especiales de datos personales, sea
estrictamente necesario y esté sujeto a unas garantías adecuadas, entre las que
se puede incluir la seudonimización.
El tratamiento de datos personales por Europol en el
contexto de los proyectos de investigación e innovación se guiará por los
principios de transparencia, explicabilidad, equidad y rendición de cuentas.
2. Sin
perjuicio de lo dispuesto en el apartado 1, para el tratamiento de datos
personales realizado en el contexto de los proyectos de investigación e
innovación de Europol, se aplicarán las siguientes garantías:
a) todo proyecto de investigación e
innovación requerirá la autorización previa del director ejecutivo, en consulta
con el responsable de la protección de datos y el agente de derechos
fundamentales, sobre la base de:
i) una descripción de los objetivos del proyecto y una explicación de cómo el
proyecto ayuda a Europol o a las autoridades competentes de los Estados
miembros en sus funciones,
ii) una descripción de la actividad de tratamiento prevista, en la que se expongan
los objetivos, el alcance y la duración del tratamiento, así como la necesidad
y la proporcionalidad del tratamiento de datos personales, por ejemplo, para
explorar y probar soluciones tecnológicas innovadoras y garantizar la exactitud
de los resultados del proyecto,
iii) una descripción
de las categorías de datos personales que vayan a tratarse,
iv) una valoración de la observancia de los principios de la protección de
datos establecidos en el artículo 72 del Reglamento (UE) 2018/1725, los plazos
de conservación y las condiciones de acceso a los datos personales, y
v) una evaluación de impacto sobre la protección de datos, en la que se
incluyan los riesgos para los derechos y libertades de los interesados, el
riesgo de cualquier sesgo en los datos personales que vayan a utilizarse para
el entrenamiento de los algoritmos y en el resultado del tratamiento, y las
medidas previstas para hacer frente a dichos riesgos, así como para evitar las
vulneraciones de derechos fundamentales;
b) se informará al
SEPD antes del inicio del proyecto;
c) se consultará o informará al Consejo de Administración antes del inicio del
proyecto, de conformidad con las directrices a que se refiere el artículo 18,
apartado 7;
d) los datos personales que vayan a
tratarse en el contexto del proyecto:
i) se copiarán temporalmente en un entorno de tratamiento de datos separado,
aislado y protegido dentro de Europol con el único fin de llevar a cabo dicho
proyecto,
ii) serán accesibles solo para el personal específicamente autorizado de
Europol de conformidad con el artículo 30, apartado 3, del presente Reglamento,
y, siempre que se disponga de medidas técnicas de seguridad, para el personal
específicamente autorizado de las autoridades competentes de los Estados
miembros y los organismos de la Unión establecidos sobre la base del título V
del TFUE,
iii) no serán
transmitidos o transferidos,
iv) no darán lugar a medidas o decisiones que afecten a los interesados como
resultado del tratamiento,
v) se cancelarán una vez concluido el proyecto o vencido el plazo de
conservación de conformidad con el artículo 31;
e) los registros del tratamiento de datos personales en el contexto del
proyecto se conservarán hasta dos años después de la conclusión del proyecto,
únicamente con el fin de comprobar la exactitud de los resultados del
tratamiento de datos y solo durante el tiempo necesario para ello.
3. El Consejo
de Administración establecerá en un documento vinculante el alcance general de
los proyectos de investigación e innovación. Dicho documento se actualizará
cuando proceda y se pondrá a disposición del SEPD para que este pueda
desempeñar su función de supervisión.
4. Europol
conservará un documento con una descripción detallada del proceso y de la
justificación del entrenamiento, la prueba y la validación de algoritmos para
garantizar la transparencia del proceso y de los algoritmos, incluido el
cumplimiento de las garantías establecidas en el presente artículo, y para
permitir la comprobación de la exactitud de los resultados sobre la base de la
utilización de dichos algoritmos. Previa solicitud, Europol pondrá dicho
documento a disposición de las partes interesadas, incluidos los Estados
miembros y el GCPC.
5. Si los
datos que vayan a tratarse para fines de un proyecto de investigación e
innovación hubieran sido facilitados por un Estado miembro, un organismo de la
Unión, un tercer país o una organización internacional, Europol solicitará el
consentimiento de dicho proveedor de datos de conformidad con el artículo 19,
apartado 2, a menos que el proveedor de datos haya concedido autorización
previa para dicho tratamiento para fines de proyectos de investigación e
innovación, ya sea en términos generales o con condiciones específicas.
Europol no tratará datos para
proyectos de investigación e innovación sin el consentimiento del proveedor de
los datos. Dicho
consentimiento podrá retirarse en cualquier momento.».
29) El artículo 34 se modifica como
sigue:
a) el apartado 1 se sustituye por el
texto siguiente:
«1. Sin perjuicio de lo dispuesto en el artículo
92 del Reglamento (UE) 2018/1725, en caso de violación de datos personales,
Europol notificará sin demora indebida dicha violación a las autoridades competentes
de los Estados miembros afectados, de conformidad con el artículo 7, apartado
5, del presente Reglamento, así como al proveedor de los datos de que se trate,
a menos que sea improbable que la violación de datos personales entrañe un
riesgo para los derechos y libertades de las personas físicas.»;
b) se suprime el apartado 3.
30) El artículo 35 se modifica como
sigue:
a) se suprimen los
apartados 1 y 2;
b) el apartado 3 se sustituye por el
texto siguiente:
«Sin perjuicio de lo dispuesto en
el artículo 93 del Reglamento (UE) 2018/1725, en caso de que Europol no
disponga de los datos de contacto del interesado, pedirá al proveedor de datos
que comunique la violación de datos personales al interesado e informe a
Europol de la decisión tomada. Los Estados miembros que faciliten datos
personales comunicarán la violación de datos personales al interesado con
arreglo al Derecho nacional.»;
c) se suprimen los
apartados 4 y 5.
31) El artículo 36 se modifica como
sigue:
a) se suprimen los
apartados 1 y 2;
b) el apartado 3 se sustituye por el
texto siguiente:
«3. Cualquier interesado que desee ejercer el
derecho de acceso a que se refiere el artículo 80 del Reglamento (UE) 2018/1725
a los datos personales que le atañan podrá formular la correspondiente
solicitud a la autoridad designada a tal efecto en el Estado miembro de su
elección o ante Europol. Cuando la solicitud se presente a dicha autoridad,
esta remitirá la solicitud a Europol sin demora indebida y en el plazo de un
mes a partir de su recepción.»;
c) se suprimen los
apartados 6 y 7.
32) El artículo 37 se modifica como
sigue:
a) el apartado 1 se sustituye por el
texto siguiente:
«1. Cualquier interesado que desee ejercer el
derecho de rectificación o supresión de datos personales o limitación del
tratamiento de los datos personales que le atañan, a que se refiere el artículo
82 del Reglamento (UE) 2018/1725, podrá formular la correspondiente solicitud,
a través de la autoridad designada a tal efecto en el Estado miembro de su
elección o a Europol. Cuando la solicitud se presente a dicha autoridad, esta
remitirá la solicitud a Europol sin demora indebida y en el plazo de un mes a
partir de su recepción.»;
b) se suprime el apartado 2;
c) los apartados 3, 4 y 5 se
sustituyen por el texto siguiente:
«3. Sin
perjuicio de lo dispuesto en el artículo 82, apartado 3, del Reglamento (UE)
2018/1725, Europol restringirá el tratamiento de datos personales, en lugar de
cancelar los datos personales, en caso de que hubiera motivos razonables para
suponer que la cancelación podría perjudicar intereses legítimos del
interesado.
Los datos restringidos solo se tratarán con el fin de
proteger los derechos del interesado, cuando sea necesario para proteger los
intereses vitales del interesado o de otra persona, o para los fines
establecidos en el artículo 82, apartado 3, del Reglamento (UE) 2018/1725.
4. Cuando los
datos personales a que se refieren los apartados 1 y 3 en poder de Europol le
hubieran sido facilitados por terceros países, organizaciones internacionales u
organismos de la Unión, hubieran sido facilitados directamente por entidades
privadas, extraídos por Europol de fuentes públicas o fueran el resultado de
los propios análisis de Europol, esta deberá rectificar o cancelar dichos datos
o restringir su tratamiento e informar, en su caso, a los proveedores de los
datos.
5. Cuando los datos personales a que se
refieren los apartados 1 y 3 en poder de Europol le hubieran sido facilitados
por Estados miembros, los Estados miembros de que se trate deberán rectificar o
cancelar dichos datos o restringir su tratamiento en cooperación con Europol,
dentro de sus respectivas competencias.»;
d) se suprimen los
apartados 8 y 9.
33) El artículo 38 se modifica como
sigue:
a) el apartado 1 se sustituye por el
texto siguiente:
«1. Europol tratará los datos personales de
manera que pueda determinarse su fuente de conformidad con el artículo 17.»;
b) en el apartado 2, la parte
introductoria se sustituye por el texto siguiente:
«2. La responsabilidad por la exactitud de los
datos personales a que se refiere el artículo 71, apartado 1, letra d), del
Reglamento (UE) 2018/1725 recaerá en:»;
c) el apartado 4 se sustituye por el
texto siguiente:
«4. Europol será responsable del cumplimiento
del Reglamento (UE) 2018/1725 por lo que respecta a los datos personales
administrativos, y del cumplimiento del presente Reglamento y del artículo 3 y
el capítulo IX del Reglamento (UE) 2018/1725 por lo que respecta a los datos
personales.»;
d) en el apartado 7, la tercera
frase se sustituye por el texto siguiente:
«La seguridad de dicho
intercambio se garantizará con arreglo al artículo 91 del Reglamento (UE)
2018/1725.».
34) El artículo 39 se sustituye por
el texto siguiente:
«Artículo 39
Consulta previa
1. Sin
perjuicio de lo dispuesto en el artículo 90 del Reglamento (UE) 2018/1725, la
consulta previa al SEPD no se aplicará a actividades operativas específicas que
no incluyan ningún tipo nuevo de tratamiento que implique un riesgo elevado
para los derechos y libertades de los interesados.
2. Europol
podrá iniciar operaciones de tratamiento que estén sujetas a consulta previa
del SEPD en virtud del artículo 90, apartado 1, del Reglamento (UE) 2018/1725,
a menos que el SEPD haya proporcionado asesoramiento por escrito en virtud del
artículo 90, apartado 4, de dicho Reglamento en los plazos previstos en dicha
disposición, que se iniciarán en la fecha de recepción de la solicitud inicial
de consulta y no podrán suspenderse.
3. Cuando las
operaciones de tratamiento a que se refiere el apartado 2 del presente artículo
tengan una importancia sustancial para desempeñar las funciones de Europol y
sean especialmente urgentes y necesarias para prevenir y combatir una amenaza
inmediata de un delito que se incluya en los objetivos de Europol o para
proteger los intereses vitales del interesado o de otra persona, Europol podrá
iniciar excepcionalmente el tratamiento después de la consulta previa del SEPD
prevista en el artículo 90, apartado 1, del Reglamento (UE) 2018/1725 y antes
de que expire el plazo previsto en el artículo 90, apartado 4, de dicho
Reglamento. En tal caso, Europol informará al SEPD antes del inicio de las
operaciones de tratamiento.
El asesoramiento por escrito del SEPD en virtud del
artículo 90, apartado 4, del Reglamento (UE) 2018/1725 se tendrá en cuenta de
manera retroactiva, y la forma en que se lleve a cabo el tratamiento se
adaptará en consecuencia.
El responsable de protección de datos participará en
la valoración de la urgencia de dichas operaciones de tratamiento antes de que
expire el plazo previsto en el artículo 90, apartado 4, del Reglamento (UE)
2018/1725 y supervisará el tratamiento en cuestión.
4. El SEPD llevará un registro de todas las
operaciones de tratamiento que se le hayan notificado en virtud del apartado 1.
Dicho registro no será público.».
35) Se inserta el artículo siguiente:
«Artículo 39 bis
Registro de
categorías de actividades de tratamiento
1. Europol
llevará un registro de todas las categorías de actividades de tratamiento bajo
su responsabilidad. Dicho registro
contendrá la siguiente información:
a) los datos de contacto de Europol y el nombre y los datos de contacto del
responsable de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de
datos personales;
d) las categorías de destinatarios a los que se hayan comunicado o vayan a
comunicarse los datos personales, incluidos los destinatarios en terceros
países u organizaciones internacionales;
e) cuando proceda, las transferencias de datos personales a un tercer país, a
una organización internacional o a una entidad privada, incluido el nombre de
dicho destinatario;
f) cuando sea posible, los plazos previstos para la cancelación de las
diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y
organizativas de seguridad a que se refiere el artículo 91 del Reglamento (UE)
2018/1725;
h) en su caso, el
recurso a la elaboración de perfiles.
2. El registro
a que se refiere el apartado 1 se efectuará por escrito, incluido el formato
electrónico.
3. Europol pondrá a disposición del SEPD,
previa solicitud, el registro a que se refiere el apartado 1.».
36) El artículo 40 se sustituye por
el texto siguiente:
«Artículo 40
Registros de
operaciones
1. De
conformidad con el artículo 88 del Reglamento (UE) 2018/1725, Europol
conservará registros de sus operaciones de tratamiento. No será posible
modificarlos.
2. Sin perjuicio de lo dispuesto en el artículo
88 del Reglamento (UE) 2018/1725, si lo requiere una unidad nacional para una
investigación específica relacionada con el cumplimiento de las normas de
protección de datos, los registros de operaciones a que se refiere el apartado
1 se comunicarán a dicha unidad nacional.».
37) El artículo 41 se sustituye por
el texto siguiente:
«Artículo 41
Designación del
responsable de protección de datos
1. El Consejo
de Administración nombrará a un miembro del personal de Europol como
responsable de protección de datos, que será designado para ese único cargo.
2. El
responsable de protección de datos será seleccionado atendiendo a sus
cualidades profesionales y, en particular, sus conocimientos especializados de
la normativa y las prácticas en materia de protección de datos, así como a su
capacidad para desempeñar las funciones a que se refiere el artículo 41 ter
del presente Reglamento y el Reglamento (UE) 2018/1725.
3. La
selección del responsable de protección de datos no podrá derivar en un
conflicto de intereses entre su función de responsable de protección de datos y
cualesquiera otras obligaciones oficiales que pueda tener, en particular, en
relación con la aplicación del presente Reglamento.
4. El
responsable de protección de datos no podrá ser destituido ni sancionado por el
Consejo de Administración por razón del ejercicio de sus funciones.
5. Europol publicará los datos de contacto del
responsable de protección de datos y los comunicará al SEPD.».
38) Se insertan los artículos
siguientes:
«Artículo 41 bis
Cargo de
responsable de protección de datos
1. Europol
garantizará que el responsable de protección de datos participe de forma
adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección
de datos personales.
2. Europol
respaldará al responsable de protección de datos en el desempeño de las
funciones mencionadas en el artículo 41 ter, facilitando los recursos y
el personal necesarios para el desempeño de dichas funciones y facilitando el
acceso a los datos personales y a las operaciones de tratamiento, y para
mantener sus conocimientos especializados.
Con el fin de respaldar al responsable de protección
de datos en el desempeño de sus funciones, se podrá designar a un miembro del
personal de Europol como responsable adjunto de protección de datos.
3. Europol
garantizará que el responsable de protección de datos actúe de modo
independiente y que no reciba ninguna instrucción en lo que respecta al
desempeño de sus funciones.
El responsable de protección de datos informará
directamente al Consejo de Administración.
4. Los interesados
podrán ponerse en contacto con el responsable de protección de datos por lo que
respecta a todas las cuestiones relativas al tratamiento de sus datos
personales y al ejercicio de sus derechos al amparo del presente Reglamento y
del Reglamento (UE) 2018/1725.
Nadie deberá sufrir perjuicio alguno por informar al
responsable de protección de datos de una presunta infracción del presente
Reglamento o del Reglamento (UE) 2018/1725.
5. El Consejo
de Administración adoptará normas de desarrollo referentes al responsable de
protección de datos. Tales normas se referirán, en concreto, al procedimiento
de selección para el cargo de responsable de protección de datos y a su
destitución, a las funciones, obligaciones y competencias del responsable de
protección de datos y a las garantías de su independencia.
6. El
responsable de protección de datos y su personal estarán obligados a mantener
la confidencialidad de conformidad con el artículo 67, apartado 1.
7. El
responsable de protección de datos será nombrado para un mandato de cuatro años
y podrá optar a un nuevo nombramiento.
8. En caso de
que deje de cumplir las condiciones requeridas para el ejercicio de sus
funciones, el responsable de protección de datos será destituido de su cargo
por el Consejo de Administración solo previo consentimiento del SEPD.
9. El
responsable de protección de datos y el responsable adjunto de protección de
datos serán adscritos al SEPD por el Consejo de Administración.
10. Las
disposiciones aplicables al responsable de protección de datos se aplicarán mutatis
mutandis al responsable adjunto de protección de datos.
Artículo 41 ter
Funciones del
responsable de protección de datos
1. El
responsable de protección de datos desempeñará, en particular, las siguientes
funciones en relación con el tratamiento de datos personales:
a) garantizar de manera independiente el cumplimiento por parte de Europol de
las disposiciones sobre protección de datos del presente Reglamento y del
Reglamento (UE) 2018/1725, así como de las disposiciones pertinentes en materia
de protección de datos de las normas internas de Europol, incluido el
seguimiento del cumplimiento del presente Reglamento, del Reglamento (UE)
2018/1725, de otras disposiciones de la Unión o nacionales en materia de
protección de datos y de las políticas de Europol en esta materia, incluida la
asignación de responsabilidades, la concienciación y la formación del personal
que participe en las operaciones de tratamiento, y las auditorías
correspondientes;
b) informar a Europol y a aquellos miembros del personal que se ocupen del
tratamiento de datos personales de las obligaciones que les incumben en virtud
del presente Reglamento, del Reglamento (UE) 2018/1725 y de otras disposiciones
de la Unión o nacionales en materia de datos personales y asesorarles en la
materia;
c) prestar el asesoramiento que se le solicite acerca de la evaluación de
impacto relativa a la protección de datos con arreglo al artículo 89 del
Reglamento (UE) 2018/1725 y hacer el seguimiento de la eficacia de la
evaluación de impacto relativa a la protección de datos;
d) llevar un registro de las violaciones de datos personales y prestar el
asesoramiento que se le solicite acerca de la necesidad de notificar o
comunicar una violación de datos personales con arreglo a los artículos 92 y 93
del Reglamento (UE) 2018/1725;
e) velar por que se lleve un registro de la transmisión, la transferencia y la
recepción de datos personales de conformidad con el presente Reglamento;
f) velar por que los interesados que lo soliciten sean informados de sus
derechos en virtud del presente Reglamento y del Reglamento (UE) 2018/1725;
g) cooperar con el personal de Europol responsable de los procedimientos, la
formación y el asesoramiento en materia de tratamiento de datos;
h) responder a las solicitudes del SEPD, en el ámbito de sus competencias,
cooperar y consultar con el SEPD, a petición de este o por iniciativa propia;
i) cooperar con las autoridades competentes de los Estados miembros, en
particular, con los responsables de protección de datos de las autoridades
competentes de los Estados miembros y las autoridades nacionales de control en
materia de protección de datos en el ámbito policial;
j) actuar como punto de contacto del SEPD para las cuestiones relacionadas con
el tratamiento, incluida la consulta previa con arreglo a los artículos 40 y 90
del Reglamento (UE) 2018/1725, y realizar consultas, en su caso, sobre
cualquier otra cuestión de su ámbito de competencias;
k) elaborar un informe anual y transmitirlo al Consejo de Administración y al
SEPD;
l) velar por que las operaciones de tratamiento no tengan efectos adversos en
los derechos y las libertades de los interesados.
2. El
responsable de protección de datos podrá formular recomendaciones al Consejo de
Administración para la mejora práctica de la protección de datos y asesorar
sobre cuestiones relativas a la aplicación de las disposiciones en materia de
protección de datos.
El responsable de protección de datos podrá
investigar, de oficio o a instancias del Consejo de Administración o de
cualquier persona física, las cuestiones y los incidentes directamente
relacionados con sus funciones que lleguen a su conocimiento e informar a la
persona que solicitó la investigación o al Consejo de Administración sobre los
resultados de dicha investigación.
3. El
responsable de protección de datos ejercerá las funciones que dispone el
Reglamento (UE) 2018/1725 en lo que atañe a los datos personales
administrativos.
4. En el
ejercicio de sus funciones, el responsable de protección de datos y los
miembros del personal de Europol que le asistan en el ejercicio de sus
funciones tendrán acceso a todos los datos tratados por Europol y a todos los
locales de Europol.
5. Si el
responsable de protección de datos considerara que no se han cumplido las
disposiciones del presente Reglamento o del Reglamento (UE) 2018/1725 relativas
al tratamiento de los datos personales administrativos, o las disposiciones del
presente Reglamento o del artículo 3 y el capítulo IX del Reglamento (UE)
2018/1725 relativas al tratamiento de los datos personales, informará de ello
al director ejecutivo y le pedirá que subsane el incumplimiento en un plazo
determinado.
Si el director ejecutivo no subsanara el
incumplimiento en el plazo fijado, el responsable de protección de datos
informará al Consejo de Administración. El Consejo de Administración responderá
en un plazo determinado acordado con el responsable de protección de datos. Si
el Consejo de Administración no subsanara el incumplimiento en el plazo fijado,
el responsable de protección de datos remitirá el asunto al SEPD.
Artículo 41 quater
Agente de
derechos fundamentales
1. El Consejo
de Administración designará, a propuesta del director ejecutivo, a un agente de
derechos fundamentales. Este podrá ser un miembro del personal en plantilla de
Europol que haya recibido formación especial jurídica y práctica en materia de
derechos fundamentales.
2. El agente
de derechos fundamentales desempeñará las siguientes funciones:
a) asesorar a Europol, si lo considera necesario o previa solicitud, en
relación con cualquier actividad de Europol sin impedir ni retrasar las
actividades de que se trate;
b) hacer el seguimiento del cumplimiento de los derechos fundamentales por
parte de Europol;
c) elaborar
dictámenes no vinculantes sobre los acuerdos de trabajo;
d) informar al director ejecutivo de posibles vulneraciones de los derechos
fundamentales durante las actividades de Europol;
e) promover el respeto de los derechos fundamentales por parte de Europol en
el desempeño de sus funciones y actividades;
f) cualquier otra
tarea prevista en el presente Reglamento.
3. Europol
garantizará que el agente de derechos fundamentales no reciba ninguna
instrucción en lo que respecta al desempeño de sus funciones.
4. El agente
de derechos fundamentales informará directamente al director ejecutivo y
preparará informes anuales sobre sus actividades, también sobre la medida en
que las actividades de Europol respetan los derechos fundamentales. Dichos
informes serán puestos a disposición del Consejo de Administración.
Artículo 41 quinquies
Formación sobre
derechos fundamentales
Todo miembro del personal de Europol que participe en
tareas operativas que conlleven el tratamiento de datos personales recibirá una
formación obligatoria en materia de protección de los derechos y libertades
fundamentales, incluida la relativa al tratamiento de datos personales. Dicha
formación se impartirá en cooperación con la Agencia de los Derechos
Fundamentales de la Unión Europea (FRA), creada por el Reglamento (CE) n.o 168/2007 del Consejo (*12), y la Agencia de la Unión
Europea para la Formación Policial (CEPOL), creada por el Reglamento (UE)
2015/2219 del Parlamento Europeo y del Consejo (*13).
(*12) Reglamento
(CE) n.o 168/2007 del Consejo, de 15 de febrero de 2007, por
el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea (DO L 53 de 22.2.2007, p. 1)."
(*13) Reglamento
(UE) 2015/2219 del Parlamento Europeo y del Consejo, de 25 de noviembre de
2015, sobre la Agencia de la Unión Europea para la formación policial (CEPOL) y
por el que se sustituye y deroga la Decisión 2005/681/JAI del Consejo (DO L 319 de 4.12.2015, p. 1).»."
39) En el artículo 42, los apartados
1 y 2 se sustituyen por el texto siguiente:
«1. A efectos
del ejercicio de su función supervisora, las autoridades nacionales de control
a que se refiere el artículo 41 de la Directiva (UE) 2016/680 tendrán acceso,
en la unidad nacional o en los locales de los funcionarios de enlace, a los
datos facilitados por su Estado miembro a Europol, de conformidad con los
procedimientos nacionales aplicables, y a los registros de operaciones
mencionados en el artículo 40 del presente Reglamento.
2. Las autoridades nacionales de control
tendrán acceso a las oficinas y los documentos de sus respectivos funcionarios
de enlace en Europol.».
40) El artículo 43 se modifica como
sigue:
a) en el apartado 1, la primera
frase se sustituye por el texto siguiente:
«1. El SEPD tendrá la responsabilidad de vigilar
y garantizar la aplicación de las disposiciones del presente Reglamento y del
Reglamento (UE) 2018/1725 relativas a la protección de los derechos y
libertades fundamentales de las personas físicas en relación con el tratamiento
de datos personales por Europol, y de asesorar a Europol y a los interesados
sobre cualquier cuestión relativa al tratamiento de los datos personales.»;
b) en el apartado 3, se añaden las
letras siguientes:
«j) ordenar al responsable del tratamiento o al encargado del tratamiento que
las operaciones de tratamiento cumplan el presente Reglamento, en su caso, de
una determinada manera y dentro de un plazo señalado;
k) ordenar la suspensión de los flujos de datos hacia un destinatario en un
Estado miembro o en un tercer país o hacia una organización internacional;
l) imponer una multa administrativa en caso de incumplimiento por parte de
Europol de alguna de las medidas contempladas en las letras c), e), f), j) y k)
del presente apartado, en función de las circunstancias de cada caso
concreto.»;
c) el apartado 5 se sustituye por el
texto siguiente:
«5. El SEPD
preparará un informe anual sobre sus actividades de supervisión relativas a
Europol. Dicho informe formará parte del informe anual del SEPD contemplado en
el artículo 60 del Reglamento (UE) 2018/1725.
El SEPD invitará a las autoridades nacionales de
control a formular observaciones sobre dicha parte del informe anual antes de
que se adopte el informe anual. El SEPD prestará suma atención a dichas
observaciones y hará referencia a ellas en el informe anual.
La parte del informe anual a que
se refiere el párrafo segundo incluirá información estadística sobre quejas,
pesquisas e investigaciones, así como sobre las transferencias de datos
personales a terceros países y organizaciones internacionales, los casos de
consulta previa al SEPD y el ejercicio de las competencias establecidas en el
apartado 3 del presente artículo.».
41) El artículo 44 se modifica como
sigue:
a) el apartado 2 se sustituye por el
texto siguiente:
«2. En los
casos a que se refiere el apartado 1, se garantizará un control coordinado de
conformidad con el artículo 62 del Reglamento (UE) 2018/1725. El SEPD recurrirá
a los conocimientos y la experiencia de las autoridades nacionales de control
para el desempeño de las funciones contempladas en el artículo 43, apartado 2,
del presente Reglamento.
Teniendo debidamente en cuenta
los principios de subsidiariedad y de proporcionalidad, los miembros y el
personal de las autoridades nacionales de control tendrán competencias
equivalentes a las contempladas en el artículo 43, apartado 4, del presente
Reglamento y tendrán una obligación equivalente a la dispuesta en el artículo
43, apartado 6, del presente Reglamento, cuando realicen inspecciones conjuntas
con el SEPD.»;
b) el apartado 4 se sustituye por el
texto siguiente:
«4. En casos relativos a datos procedentes de
uno o más Estados miembros, en particular en los casos mencionados en el
artículo 47, apartado 2, el SEPD deberá consultar a las autoridades nacionales
de control de que se trate. El SEPD no tomará una decisión sobre la adopción de
ulteriores medidas antes de que dichas autoridades nacionales de control le
informen de la opinión de estas en un plazo por él especificado, que no será
inferior a un mes ni superior a tres meses a partir del momento en que el SEPD consulte
a las autoridades nacionales de control de que se trate. El SEPD tendrá en
cuenta al máximo la opinión de las autoridades nacionales de control de que se
trate. Cuando el SEPD no tenga intención de seguir la opinión de dichas
autoridades, les informará de ello, aducirá una justificación y remitirá el
asunto al Comité Europeo de Protección de Datos.».
42) Se suprimen los artículos 45 y 46.
43) El artículo 47 se modifica como
sigue:
a) el apartado 1 se sustituye por el
texto siguiente:
«1. Cualquier interesado que considere que el
tratamiento por parte de Europol de datos personales que guarden relación con
él no respeta el presente Reglamento o el Reglamento (UE) 2018/1725 tendrá derecho
a presentar una queja ante el SEPD.»;
b) en el apartado 2, la primera
frase se sustituye por el texto siguiente:
«2. Cuando una queja se refiera a una decisión
contemplada en los artículos 36 o 37 del presente Reglamento o en los artículos
81 u 82 del Reglamento (UE) 2018/1725, el SEPD consultará a las autoridades
nacionales de control del Estado miembro del que procedan los datos o del
Estado miembro directamente afectado.»;
c) se añade el apartado siguiente:
«5. El SEPD informará al interesado sobre el
curso y el resultado de la queja, así como sobre la posibilidad de tutela
judicial en virtud del artículo 48.».
44) El artículo 50 se sustituye por
el texto siguiente:
«Artículo 50
Derecho a
indemnización
1. Toda
persona que haya sufrido daños y perjuicios materiales o inmateriales como
consecuencia de una infracción del presente Reglamento tendrá derecho a recibir
una indemnización de conformidad con el artículo 65 del Reglamento (UE)
2018/1725 y el artículo 56 de la Directiva (UE) 2016/680.
2. Cualquier litigio entre Europol y los
Estados miembros en relación con la responsabilidad última por la indemnización
concedida a una persona que haya sufrido daños y perjuicios materiales o
inmateriales de conformidad con el apartado 1 del presente artículo se remitirá
al Consejo de Administración. El Consejo de Administración decidirá sobre dicha
responsabilidad por mayoría de dos tercios de sus miembros, sin perjuicio del
derecho a impugnar dicha decisión de conformidad con el artículo 263 del
TFUE.».
45) El artículo 51 se modifica como
sigue:
a) el apartado 3 se modifica como
sigue:
i) la letra d) se sustituye por el
texto siguiente:
«d) el informe anual
de actividades consolidado sobre las actividades de Europol, mencionado en el
artículo 11, apartado 1, letra c), incluida la información pertinente sobre las
actividades de Europol y los resultados obtenidos en el tratamiento de grandes conjuntos
de datos, sin revelar detalles operativos y sin perjuicio de las
investigaciones en curso;»,
ii) se añaden las letras siguientes:
«f) información
anual de conformidad con el artículo 26, apartado 11, sobre los datos
personales intercambiados con entidades privadas en virtud de los artículos 26,
26 bis y 26 ter, incluida una evaluación de la eficacia de la
cooperación, ejemplos concretos en los que se demuestre por qué esas
solicitudes eran necesarias y proporcionadas, para que Europol pueda lograr sus
objetivos y desempeñar sus funciones, y, en lo que respecta a los intercambios
de datos personales en virtud del artículo 26 ter, el número de niños
identificados como resultado de dichos intercambios en la medida en que Europol
disponga de esta información;
g) información anual sobre el número de casos en los que Europol haya tenido
que tratar datos personales que no atañan a las categorías de interesados
enumeradas en el anexo II con el fin de apoyar a los Estados miembros en una
investigación penal específica en curso de conformidad con el artículo 18 bis,
así como información sobre la duración y los resultados del tratamiento, que
incluya ejemplos de casos en los que se demuestre por qué ese tratamiento de
datos era necesario y proporcionado;
h) información anual sobre las transferencias de datos personales a terceros
países y organizaciones internacionales en virtud del artículo 25, apartados 1
y 4 bis, desglosadas por base jurídica, y sobre el número de casos en
los que el director ejecutivo haya autorizado, en virtud del artículo 25,
apartado 5, la transferencia o las categorías de transferencias de datos
personales relacionadas con una investigación penal específica en curso a
terceros países u organizaciones internacionales, incluida la información sobre
los países de que se trate y la duración de la autorización;
i) información anual sobre el número de casos en los que Europol haya
propuesto la posible introducción de descripciones de información de
conformidad con el artículo 4, apartado 1, letra t), que incluya ejemplos
concretos de casos en los que se demuestre por qué se había propuesto la
introducción de dichas descripciones;
j) información anual sobre el número de proyectos de investigación e
innovación emprendidos, que incluya información sobre los fines de dichos
proyectos, las categorías de datos personales tratados, las garantías
adicionales utilizadas, incluida la minimización de datos, las necesidades
policiales que dichos proyectos pretenden abordar y el resultado de estos;
k) información anual sobre el número de casos en los que Europol haya
recurrido al tratamiento temporal de conformidad con el artículo 18, apartado 6
bis y, en su caso, el número de casos en que se haya ampliado el período
de tratamiento;
l) información anual sobre el número y los tipos de casos en los que se hayan
tratado categorías especiales de datos personales, en virtud del artículo 30,
apartado 2.
Los ejemplos a que se refieren las letras f) e i) se
anonimizarán en lo que respecta a los datos personales.
Los ejemplos a que se refiere la
letra g) se anonimizarán en lo que respecta a los datos personales, sin revelar
detalles operativos y sin perjuicio de las investigaciones en curso.»;
b) el apartado 5 se sustituye por el
texto siguiente:
«5. El GCPC podrá elaborar unas conclusiones
resumidas sobre el seguimiento político de las actividades de Europol,
incluidas recomendaciones específicas no vinculantes dirigidas a Europol, y
presentarlas al Parlamento Europeo y a los Parlamentos nacionales. El
Parlamento Europeo remitirá dichas conclusiones, a efectos informativos, al
Consejo, la Comisión y Europol.».
46) Se inserta el artículo siguiente:
«Artículo 52 bis
Foro consultivo
1. El GCPC
creará un foro consultivo que le asista, previa petición, mediante un
asesoramiento independiente en materia de derechos fundamentales.
El GCPC y el director ejecutivo podrán consultar al
foro consultivo acerca de cualquier asunto relacionado con los derechos
fundamentales.
2. El GCPC determinará la composición del foro
consultivo, sus métodos de trabajo y el modo en que la información se haya de
transmitir al foro consultivo.».
47) En el artículo 58, el apartado 9
se sustituye por el texto siguiente:
«9. El Reglamento Delegado (UE) 2019/715 se
aplicará a cualquier proyecto inmobiliario que pueda tener repercusiones
significativas en el presupuesto de Europol.».
48) El artículo 60 se modifica como
sigue:
a) el apartado 4 se sustituye por el
texto siguiente:
«4. Una vez
recibidas las observaciones del Tribunal de Cuentas sobre las cuentas
provisionales de Europol del año N con arreglo al artículo 246 del Reglamento
(UE, Euratom) n.o 2018/1046 del Parlamento Europeo y del Consejo (*14), el contable de Europol
elaborará las cuentas definitivas de Europol de ese año. El director ejecutivo
presentará dichas cuentas definitivas al Consejo de Administración para que
este emita dictamen al respecto.
(*14) Reglamento
(UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de
2018, sobre las normas financieras aplicables al presupuesto general de la
Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se
deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).»;"
b) el apartado 9 se sustituye por el
texto siguiente:
«9. A petición del Parlamento Europeo, el
director ejecutivo le presentará toda la información necesaria para el correcto
desarrollo del procedimiento de aprobación de la gestión presupuestaria del
ejercicio N, de conformidad con el artículo 106, apartado 3, del Reglamento
Delegado (UE) 2019/715.».
49) El artículo 61 se sustituye por
el texto siguiente:
«Artículo 61
Normas
financieras
1. El Consejo
de Administración aprobará las normas financieras aplicables a Europol, previa
consulta a la Comisión. Estas normas no se apartarán del Reglamento Delegado
(UE) 2019/715 salvo que sea específicamente necesario para el funcionamiento de
Europol y previo acuerdo de la Comisión.
2. Europol
podrá conceder subvenciones relacionadas con la consecución de sus objetivos y
el desempeño de sus funciones.
3. Europol
podrá conceder subvenciones sin necesidad de ninguna convocatoria de propuestas
a los Estados miembros para la realización de actividades que se incluyan en
los objetivos y funciones de Europol.
4. Cuando esté
debidamente justificado por fines operativos, tras la autorización del Consejo
de Administración, la ayuda financiera podrá sufragar la totalidad de los
costes de inversión en equipos e infraestructuras.
Las normas financieras a que se refiere el apartado 1
podrán especificar los criterios con arreglo a los cuales la ayuda financiera
podrá sufragar la totalidad de los costes de inversión a que se refiere el
párrafo primero del presente apartado.
5. En lo que se refiere al apoyo presupuestario
a las actividades de los equipos conjuntos de investigación, Europol y Eurojust
establecerán conjuntamente las normas y condiciones de tramitación de las
solicitudes de apoyo.».
50) El artículo 68 se modifica como
sigue:
a) el apartado 1 se sustituye por el
texto siguiente:
«1. A más tardar el 29 de junio de 2027, y
posteriormente cada cinco años, la Comisión efectuará una evaluación para
valorar, en particular, el impacto, la eficacia y la eficiencia de Europol y de
sus prácticas de trabajo. Dicha evaluación podrá abordar, en particular, la
posible necesidad de modificar la estructura, el funcionamiento, el ámbito de
actuación y las funciones de Europol, y las repercusiones financieras de
cualquier modificación de este tipo.»;
b) se añade el apartado siguiente:
«3. A más tardar el 29 de junio de 2025, la
Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se
evalúen los efectos operativos del cumplimiento de las funciones previstas en
el presente Reglamento, en particular, el artículo 4, apartado 1, letra t), el
artículo 18, apartado 2, letra e), el artículo 18, apartado 6 bis, y los
artículos 18 bis, 26, 26 bis y 26 ter, en relación con los
objetivos de Europol. El informe evaluará los efectos de dichas funciones en
los derechos y libertades fundamentales establecidos en la Carta. También
proporcionará un análisis de costes y beneficios de la ampliación de las
funciones de Europol.».
51) Se insertan los artículos
siguientes:
«Artículo 74 bis
Disposiciones
transitorias relativas al tratamiento de datos personales en apoyo de una
investigación penal específica en curso
1. Cuando un
Estado miembro, la Fiscalía Europea o Eurojust hayan facilitado datos
personales que no atañan a las categorías de interesados enumeradas en el anexo
II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos
personales de conformidad con el artículo 18 bis, cuando:
a) el Estado miembro afectado, la Fiscalía Europea o Eurojust informen a
Europol a más tardar el 29 de septiembre de 2022 de que está autorizado a
tratar dichos datos personales, de conformidad con los requisitos y garantías
procesales aplicables en virtud del Derecho de la Unión o nacional, en la
investigación penal en curso para la que hubiera solicitado el apoyo de Europol
cuando proporcionó inicialmente los datos;
b) el Estado miembro afectado, la Fiscalía Europea o Eurojust soliciten a
Europol, a más tardar el 29 de septiembre de 2022, que apoye la investigación
penal en curso a que se refiere la letra a), y
c) Europol valore que, de conformidad con el artículo 18 bis, apartado
1, letra b), no es posible apoyar la investigación penal en curso a que se
refiere la letra a) del presente apartado sin tratar datos personales que no
cumplan con lo dispuesto en el artículo 18, apartado 5.
La valoración mencionada en la letra c) del presente
apartado se registrará y remitirá al SEPD a efectos informativos cuando Europol
deje de apoyar la investigación penal específica conexa.
2. Cuando un
Estado miembro, la Fiscalía Europea o Eurojust no cumpla alguno o varios de los
requisitos establecidos en el apartado 1, letras a) y b), del presente artículo
por lo que respecta a los datos personales que no atañan a las categorías de
interesados enumeradas en el anexo II que haya facilitado a Europol antes del
28 de junio de 2022, o cuando un Estado miembro, la Fiscalía Europea o Eurojust
no cumpla el apartado 1, letra c), del presente artículo, Europol no tratará
dichos datos personales de conformidad con el artículo 18 bis, sino que
los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y
en el artículo 74 ter, a más tardar el 29 de octubre de 2022.
3. Cuando un
tercer país a que se refiere el artículo 18 bis, apartado 6, haya
facilitado datos personales que no atañan a las categorías de interesados
enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol
podrá tratar dichos datos personales de conformidad con el artículo 18 bis,
apartado 6, cuando:
a) el tercer país haya facilitado los datos personales en apoyo de una
investigación penal específica en uno o más Estados miembros a los que Europol
apoye;
b) el tercer país haya obtenido los datos en el contexto de una investigación
penal de conformidad con los requisitos y garantías procesales aplicables en
virtud de su Derecho penal nacional;
c) el tercer país informe a Europol, a más tardar el 29 de septiembre de 2022,
de que está autorizado a tratar dichos datos personales en la investigación
penal en el contexto de la cual haya obtenido los datos;
d) Europol valore que, de conformidad con el artículo 18 bis, apartado
1, letra b), no es posible apoyar la investigación penal específica a que se
refiere la letra a) del presente apartado sin tratar datos personales que no
cumplan con lo dispuesto en el artículo 18, apartado 5, y dicha valoración se
registre y remita al SEPD a efectos informativos cuando Europol deje de apoyar
la investigación penal específica conexa; y
e) Europol compruebe, de conformidad con el artículo 18 bis, apartado
6, que la cantidad de datos personales no es manifiestamente desproporcionada
en relación con la investigación penal específica a que se refiere la letra a)
del presente apartado en uno o más Estados miembros a los que Europol apoya.
4. Cuando un
tercer país no cumpla el requisito establecido en el apartado 3, letra c), del
presente artículo respecto de los datos personales que no atañan a las
categorías de interesados enumeradas en el anexo II que haya facilitado a
Europol antes del 28 de junio de 2022, o cuando no se cumplan los demás
requisitos establecidos en el apartado 3 del presente artículo, Europol no
tratará dichos datos personales de conformidad con el artículo 18 bis,
apartado 6, sino que los suprimirá, sin perjuicio de lo dispuesto en el
artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de
octubre de 2022.
5. Cuando un
Estado miembro, la Fiscalía Europea o Eurojust haya facilitado datos personales
que no atañan a las categorías de interesados enumeradas en el anexo II a
Europol antes del 28 de junio de 2022, podrá solicitar a Europol a más tardar
el 29 de septiembre de 2022, que conserve dichos datos y el resultado del
tratamiento de dichos datos por parte de Europol cuando sea necesario para
garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia
criminal. Europol conservará los datos personales que no atañan a las
categorías de interesados enumeradas en el anexo II de tal modo que exista una
separación funcional de otros datos y solo tratará dichos datos con el fin de
garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia
criminal, y únicamente durante el tiempo en que se esté tramitando el
procedimiento judicial relacionado con la investigación penal para la que se hayan
facilitado dichos datos.
6. Cuando
Europol haya recibido datos personales que no atañan a las categorías de
interesados enumeradas en el anexo II antes del 28 de junio de 2022, Europol no
conservará dichos datos con el fin de garantizar la veracidad, fiabilidad y
trazabilidad del proceso de inteligencia criminal, a menos que así se solicite
de conformidad con el apartado 5. A falta de tal solicitud, Europol suprimirá
dichos datos personales a más tardar el 29 de octubre de 2022.
Artículo 74 ter
Disposiciones
transitorias relativas al tratamiento de datos personales en poder de Europol
Sin perjuicio de lo dispuesto en el artículo 74 bis,
respecto de los datos personales recibidos por Europol antes del 28 de junio de
2022, Europol podrá comprobar si dichos datos personales atañen a alguna de las
categorías de interesados establecidas en el anexo II. Con este fin, Europol
podrá llevar a cabo un análisis preliminar de dichos datos personales durante
un período máximo de dieciocho meses a partir de la fecha en que se recibieran
por primera vez o, en casos justificados y con la autorización previa del SEPD,
durante un período más largo.
El período máximo de tratamiento
de los datos a que se refiere el párrafo primero será de tres años a partir del
día de la recepción de los datos por Europol.».
Artículo 2
El presente Reglamento entrará en vigor el día siguiente al de su
publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será
obligatorio en todos sus elementos y directamente aplicable en los Estados
miembros de conformidad con los Tratados.
Hecho en Estrasburgo, el 8 de junio de 2022.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
C. BEAUNE
(1) Posición del Parlamento Europeo de
4 de mayo de 2022 (pendiente de publicación en el Diario Oficial) y Decisión
del Consejo de 24 de mayo de 2022.
(2) Reglamento (UE) 2016/794 del
Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia
de la Unión Europea para la Cooperación Policial (Europol) y por el que se
sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI,
2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(3) Decisión 2008/617/JAI del Consejo,
de 23 de junio de 2008, sobre la mejora de la cooperación entre las unidades
especiales de intervención de los Estados miembros de la Unión Europea en
situaciones de crisis (DO L 210 de 6.8.2008, p. 73).
(4) Reglamento (UE) 2019/881 del
Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA
(Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la
ciberseguridad de las tecnologías de la información y la comunicación y por el
que se deroga el Reglamento (UE) n.o 526/2013
(«Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(5) Directiva (UE) 2016/1148 del
Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas
destinadas a garantizar un elevado nivel común de seguridad de las redes y
sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(6) Reglamento (UE) 2018/1862 del
Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al
establecimiento, funcionamiento y utilización del Sistema de Información de
Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación
judicial en materia penal, por el que se modifica y deroga la Decisión
2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE
de la Comisión (DO L 312 de 7.12.2018, p. 56).
(7) Reglamento (UE) n.o 1053/2013 del Consejo, de 7 de octubre de 2013, por el que se establece un
mecanismo de evaluación y seguimiento para verificar la aplicación del acervo
de Schengen, y se deroga la Decisión del Comité Ejecutivo de 16 de septiembre
de 1998 relativa a la creación de una Comisión permanente de evaluación y
aplicación de Schengen (DO L 295 de 6.11.2013, p. 27).
(8) Reglamento (UE) 2019/452 del
Parlamento Europeo y del Consejo, de 19 de marzo de 2019, por el que se
establece un marco para el control de las inversiones extranjeras directas en
la Unión (DO L 79 I de 21.3.2019, p. 1).
(9) Reglamento (UE) 2017/1939 del
Consejo, de 12 de octubre de 2017, por el que se establece una cooperación
reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
(10) Reglamento (UE) 2018/1725 del
Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales por las instituciones, órganos y organismos de la Unión, y a la
libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(11) Directiva (UE) 2016/680 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, y a la libre circulación de dichos datos y por
la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(12) Directiva (UE) 2015/849 del
Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la
prevención de la utilización del sistema financiero para el blanqueo de
capitales o la financiación del terrorismo, y por la que se modifica el
Reglamento (UE) n.o 648/2012 del Parlamento Europeo
y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y
del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).
(13) Reglamento (UE) 2021/784 del
Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra
la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79).
(14) Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(15) DO C 143 de
23.4.2021, p. 6.
No hay comentarios:
Publicar un comentario